ノート:

• このチュートリアルではOracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
• Oracle Cloud Infrastructure資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了する場合は、これらの値をクラウド環境に固有の値に置き換えてください。

Oracle Cloud Infrastructure Network FirewallでOracle Cloud VMware Solutionワークロードを保護

イントロダクション

このドキュメントでは、Oracle Cloud Infrastructure (OCI) Network Firewallを使用して、Oracle Cloud VMware Solutionで実行されるワークロードを保護する方法について説明します。Oracle Cloud VMware Solutionでは、OCIでVMwareソフトウェア定義データ・センター(SDDC)を作成および管理できます。

OCI Network Firewallは、分散モデルまたは転送モデルとしてデプロイできます。このチュートリアルでは、Network FirewallがハブVCN、Oracle Cloud VMware Solution SDDCにあるTransitモデルをスポークVCNにデプロイします。OCIネットワーキングのイントラVCNおよびイングレス・ルーティング機能を使用して、ハブVCNで実行されているネットワーク・ファイアウォールを介してトラフィックを検査できます。

ノート: このチュートリアルではOCI Network Firewallを示しますが、ほとんどの概念は、Fortinet、Palo Alto Networks、Cisco、Check Pointなどの他のサード・パーティ製アプライアンスに適用される必要があります。顧客は、特定のベンダー/パートナーと協力して、ベンダーがサポートしていることを確認する必要があります。

ユースケース

OCI Intra VCNルーティング機能を使用すると、VCN内のOCIワークロード・トラフィックをサポートするためのルーティングを簡単に設定でき、ファイアウォールを使用してトラフィックを検査/保護することもできます。次のようなVCN内イングレス・ルーティング機能を使用します。

• VCN内ルーティング - これにより、定義されたルートを持つVCN内トラフィックの直接ルーティングを変更できます。サブネット・レベルのルートを定義できます。

• インターネット・ゲートウェイ/ネットワーク・アドレス変換ゲートウェイ・イングレス・ルーティング - これにより、ユーザーが選択したネクスト・ホップに向かうVCNへのインバウンド・パブリック・トラフィックのルートを定義できます。

• ソフトウェア・ゲートウェイのイングレス・ルーティングの拡張 - これにより、ソフトウェア・ゲートウェイがOCIサービスからVCN内の宛先にトラフィックをルーティングするルートを定義できます。

このチュートリアルでは、様々なトラフィック・シナリオおよびOCI Network Firewallでサポートされている主な機能を検証します。

• OCIとNSXオーバーレイ間の南北トラフィック検査: OCI Native Compute VMからOracle Cloud VMware Solution NSX Workload VMへのトラフィックを保護します。

• NSXオーバーレイとパブリック・インターネットの間の南北トラフィック検査: Oracle Cloud VMware Solution NSXワークロードからインターネットに直接接続されたトラフィックへのトラフィックを保護します。

• OCIサブネットおよびVLAN内の東部トラフィック検査: OCI Native Comute VMから、OCI VLANでホストされているOracle Cloud VMware Solution vSphereへのトラフィックを保護します。

• OCIサブネット内の東部トラフィック検査: OCIサブネットでホストされているOCI DB VMからOracle Cloud VMware Solution SDDC ESXiホストへのトラフィックを保護します。

• Network Firewallのセキュリティ機能(侵入防止、侵入検出、URLフィルタリング、SSLインバウンド検査など)を検証します。

ノート: Transitモデルを使用して、NSXワークロードVM内の東西トラフィックを検査することはできません。そのトラフィックを検査する場合は、このチュートリアルでは扱っていないOracle Cloud VMware Solution環境にサード・パーティ・パートナ・ソリューションをデプロイすることをお薦めします。

目標

このチュートリアルでは、Oracle Cloud VMwareソリューション環境でのOCI Network Firewallソリューションを使用したOCI Intra-VCNルーティング機能について説明します。OCIでのファイアウォール・デプロイメントを簡略化する、Virtual Cloudネットワーキング・ルーティングのユースケースを取り上げました。

前提条件

• トポロジ図に従って、作業中のVCN内ネットワーク・トポロジを設定できます。
• ハブVCNで稼働中のOCIネットワーク・ファイアウォール:
  • このワークショップに従って、OCI Network Firewallソリューションについて理解できます。
• 専用VCNにデプロイされた動作中のOracle Cloud VMware Solution SDDC環境。Oracle Cloud VMware Solutionのドキュメントに従ってください。このチュートリアルでは、単一のホストSDDCをデプロイしました。
• このチュートリアルでは、Linux Bastion VMおよびWindows Jump Host VMを各サブネットにデプロイして、OCIネイティブのワークロードを示します。これらは、アプリケーションまたはデータベースをホストできる他のVMと置き換えることができます。

ノート: 本番環境では、ファイアウォールを高可用性でデプロイする必要があります。

アーキテクチャ

このユースケースをサポートするために、次のトポロジを参照できます。

タスク1: OCIネットワーク・ファイアウォールの構成

次の項では、OCI Network Firewallの最小限必要な構成について説明します。詳細な構成については、公式ドキュメントを参照してください。

1. VCNサブネットおよびVLAN: 最初のステップは、ユースケース・トポロジをサポートするための前提条件の項の説明に従って、必要なVCNおよびサブネットを作成したことを確認することです。

   • OCIコンソールを使用して確認するには、「Virtual Cloud Networks」、「Virtual Cloudネットワークの詳細」、「リソース」に移動します。

     • Hub-VCNでネットワーク・ファイアウォールをサポートするためのファイアウォール- サブネット-IADサブネット
     • トラフィック検証用のVMをサポートするハブVCNのパブリック・要塞サブネット-IAD、JumpHost- サブネット-IADサブネット
     • DBワークロードをサポートするDB-Spoke-VCN-IAD VCNのDB-Subnet-IADサブネット
     • Oracle Cloud VMware Solution SDDCのデプロイメント中に、適切なサブネットおよびVLANが作成されている必要があります

   • 次の図は、ハブVCN (ファイアウォール-VCN-IAD)および関連するサブネットを示しています。

     

   • 次に、ファイアウォール・サブネットにデプロイされたOCIネットワーク・ファイアウォールをデプロイする必要があります。詳細は、公式ドキュメントを参照してください。

2. OCIネットワーク・ファイアウォール・ポリシー・ルール: ユース・ケース・トラフィックをサポートするために必要なファイアウォール・セキュリティ・ルールが追加されていることを確認します。ルールの構成方法の詳細は、公式ドキュメントを参照してください。

   

3. OCIネットワーク・ファイアウォール: ハブVCNで、前提条件に従ってネットワーク・ファイアウォールをデプロイします。ファイアウォールVMがアクティブになったら、それを使用してトラフィックを保護します。

   

4. VCN、サブネット、VLANおよびDRGアタッチメントのルート表: ユースケース・トポロジの正しいルート・ルールを反映するようにルート表を構成する必要があります。概要レベルでは、VCNのルート表を次のように変更する必要があります。

   • ファイアウォール-VCN

     • ファイアウォール・サブネット・ルート表: 各サブネットCIDRを宛先として、ターゲットをインターネット・ゲートウェイ、Natゲートウェイ、サービス・ゲートウェイまたはDRGとして、エントリを作成します。
     • パブリック・要塞サブネット・ルート表: 各サブネットCIDRを宛先として、ターゲットをネットワーク・ファイアウォールIPアドレスとしてエントリを作成します。
     • プライベートJumpHostサブネット・ルート表: 各サブネットCIDRを宛先として、ターゲットをネットワーク・ファイアウォールIPアドレスとしてエントリを作成します。
     • VCNイングレス・ルート表: 各宛先CIDRおよびターゲットをファイアウォールIPアドレスとしてエントリを作成し、スポークVCNからのトラフィックを検査します。

   • Oracle Cloud VMware Solution VCN

     • サブネットSDDCルート表: 各サブネットCIDRを宛先として、ターゲットをDRGとしてエントリを作成します。
     • vSphere VLANルート表: 各サブネットCIDRを宛先として、ターゲットをDRGとしてエントリを作成します。
     • NSX Edgeアップリンク1 VLANルート表: 各サブネットCIDRを宛先として、ターゲットをDRGとしてエントリを作成します。
     • VCNイングレス・ルート表: トラフィックがオーバーレイ・ホストに戻るように、各宛先オーバーレイCIDRおよびターゲットをNSX-EDGE-UPLINK IPアドレスとしてエントリを作成します。

   • DB VCN

     • DBサブネット・ルート表: 各サブネットCIDRを宛先として、ターゲットをDRGとして、OCIネットワーク・ファイアウォールを介したトラフィックを検査するエントリを作成します。

   • DRG VCNアタッチメント

     • ファイアウォール-VCNアタッチメント・ルート表: 各NSXワークロードCIDRを宛先として、次のホップをOracle Cloud VMware Solution VCNアタッチメントとして使用するエントリを作成します。Oracle Cloud VMware SolutionおよびDB VCNが基準に一致するルート・ディストリビューションをインポートします。
     • Oracle Cloud VMware Solution-VCNアタッチメント・ルート表: 各サブネットCIDRを宛先として、ターゲットをファイアウォールVCNアタッチメントとして、OCIネットワーク・ファイアウォールを介したトラフィックを検査するエントリを作成します。
     • DBアタッチメント・ルート表: 各サブネットCIDRを宛先として、次のホップをファイアウォールVCNアタッチメントとして、OCIネットワーク・ファイアウォールを介したトラフィックを検査するエントリを作成します。

ノート: トラフィックが両方向で適切に検査されるように、ルート対称が使用されていることを確認してください。

タスク2: OCIネットワーク・ファイアウォールからのトラフィックの検証および検査

この時点で、JumpHost Windows VM、Bastion VM、Oracle Cloud VMware Solution SDDC環境、NSXオーバーレイVMおよびDB Spoke VMからのトラフィックを検証し、OCI Network Firewallからのトラフィックを調べることができます。次の図は、ユースケース・トポロジに従って実行されている必要なVMを示しています。

VCN内ルーティング(IVR)を介したJumpBox Windows VMからNSXオーバーレイVMへの南北トラフィック検査

• IVRルーティング機能を使用すると、VCN内のトラフィックおよびユーザー定義ルートをファイアウォール・プライベートIPにルーティングできます。次の図は、JumpHost Windows VMがOracle Cloud VMware Solution NSXワークロードVMと通信できるようにするために関連付けられた論理トラフィック・フローと様々なルーティング表を示しています。

  

• 次のように、必要なセキュリティ・ルールをすでにプッシュしています。これにより、トラフィックがファイアウォールを介して検査されます。

  

• Oracle Cloud VMware SolutionワークロードVM (172.16.X.X)には、JumpHost Windows VM (10.40.1.160)からアクセスできます。

  

  

• 次の図は、適用されたセキュリティ・ルールに基づくOCI Network Firewallのトラフィック・ログを示しています。

  

  

ネットワーク・ゲートウェイ・イングレス・ルーティングを介したNSXオーバーレイVMからインターネットへの南北トラフィック検査

• IVRルーティングおよびネットワーク・ゲートウェイのイングレス・ルーティング機能を使用すると、VCN内のトラフィックをルーティングし、ネットワーク・アドレス変換ゲートウェイへのユーザー定義ルートを使用できます。次の図は、Oracle Cloud VMware SolutionワークロードVMからOCIネットワーク・ファイアウォールを介したインターネットへのIVRおよびネットワーク・ゲートウェイ・イングレス・ルーティングの有効化に使用される、論理トラフィック・フローと様々なルーティング表を示しています。

  

• 次のように、必要なセキュリティ・ルールをすでにプッシュしています。これにより、トラフィックがファイアウォールを介して検査されます。

  

• Oracle Cloud VMware Solution NSX Workload VM (172.16.1.5)からインターネット(info.cern.ch)への接続を確立できます。

  

• 次の図は、適用されたセキュリティ・ルールに基づくOCI Network Firewallのトラフィック・ログを示しています。

  

VCN内ルーティング(IVR)を介した、JumpBox Windows VMからvCenterへの東西トラフィック検査

• IVRルーティング機能を使用すると、VCN内のトラフィックおよびユーザー定義ルートをファイアウォール・プライベートIPにルーティングできます。次の図は、JumpHost Windows VMがOracle Cloud VMware Solution vCenter Serverに到達できるようにするために関連付けられた論理トラフィック・フローと異なるルーティング表を示しています。

  

• 次のように、必要なセキュリティ・ルールをすでにプッシュしています。これにより、トラフィックがファイアウォールを介して検査されます。

  

• Oracle Cloud VMware Solution vCenter Server (10.0.4.2)には、JumpHost Windows VM (10.40.1.160)からアクセスできます。

  

• 次の図は、適用されたセキュリティ・ルールに基づくOCI Network Firewallのトラフィック・ログを示しています。

  

DBスポークVMおよびESXiホストからの東西トラフィック検査(その逆も同様)

• IVRルーティング機能を使用すると、VCNおよびユーザー定義ルート内のトラフィックをファイアウォールのプライベートIPにルーティングできます。次の図は、セキュリティ目的でOracle Cloud VMware Solution SDDC ESXiホストへのスポークVMトラフィックが削除されるようにするために関連付けられた論理トラフィック・フローおよび様々なルーティング表を示しています。

  

• 次のように、必要なセキュリティ・ルールをすでにプッシュしています。これにより、トラフィックがファイアウォールを介して検査されます。

  

• DB VM (10.50.0.118)からOracle Cloud VMware Solution ESXi Host (10.0.0.110)にアクセスでき、適用されたセキュリティ・ルールに基づいてトラフィックを拒否する必要があります。

  

• 次の図は、適用されたセキュリティ・ルールに基づくOCI Network Firewallのトラフィック・ログを示しています。

  

IPS/IDS、URLフィルタリング、SSL転送プロキシおよびSSLインバウンド検査トラフィックを、VCN間ルーティングを介してNSXオーバーレイVMからインターネットに

• ネットワーク・ファイアウォールの主要機能により、侵入防止、侵入検出、URLフィルタリング、SSLインバウンド検査などの次世代のファイアウォール機能が提供され、Oracle Cloud VMware Solution SDDC環境と併用できます。

• 次の図は、NGFW機能を使用できるように関連付けられた論理トラフィック・フローと異なるルーティング表を示しています。

  

• これらの機能の詳細は、OCI Network Firewallの公式ドキュメントを参照してください。

IPS/ID

• 次の図は、ファイアウォールに関連付けられたIPS/IDSセキュリティ・ルールを示しています。この場合、Jumpbox VMはHTTPS経由でEICARマルウェアをダウンロードします。

  

• Jumpbox VMから、ネットワークゲートウェイのイングレスルーティングを介してインターネットに直接接続されているマルウェアにアクセスできます。トラフィックはファイアウォールを通過します。

  

• 次の図は、OCI Network Firewallのトラフィック・ログを示し、IDSアクションに従ってアラートを生成する必要があります。

  

URLフィルタリング

• 次の図は、ネットワーク・ファイアウォール上のURLフィルタリング・セキュリティ・ルールを示しています。この場合、Oracle Cloud VMware Solution NSX Workload VMは特定のパブリックURLにアクセスするため、拒否する必要があります。

  

• 次のイメージは、OCI Network Firewallのトラフィック・ログを示し、正しいセキュリティ・ルールにヒットする必要があります。

  

SSL転送プロキシおよびSSLインバウンド検査

• Jumpbox VMからインターネットへのHTTPSトラフィックがSSL転送プロキシ・プロファイルを使用していることを確認するSSL/TLSトラフィックをサポートする復号化ルールを作成しました。

  

  

• Jumpbox VMから、NGW経由でSSL/HTTPS経由でインターネット接続URLにアクセスできます。トラフィックはファイアウォールを通過します。

  

関連リンク

• Oracle Cloud Infrastructure
• Oracle Cloud VMware Solutionの概要
• Oracle Cloud Virtual Cloudネットワーク・ルーティング
• Oracle Cloud Infrastructureハブ・アンド・スポーク・アーキテクチャ
• DRGを使用したOracle Cloud Infrastructure転送ハブ・ファイアウォール
• Oracle Dynamic Routing Gatewayのドキュメント
• OCIネットワーク・ファイアウォール
• OCIネットワーク・ファイアウォールの概要
• OCI Network Firewallワークショップ
• OCI Network Firewallを使用した多層防御

謝辞

作成者:

• Arun Poonia (プリンシパル・ソリューション・アーキテクト)
• Praveen Kumar Pedda Vakkalam(主要ソリューション・アーキテクト)

その他の学習リソース

docs.oracle.com/learnで他のラボをご覧いただくか、Oracle Learning YouTubeチャネルでより無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Secure your Oracle Cloud VMware Solution workloads with Oracle Cloud Infrastructure Network Firewall

F80966-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.