ネットワーク・セキュリティ・パートナ・ソリューションをOracle Cloud上のセキュアなCISランディング・ゾーンにデプロイ

Oracle Cloud Infrastructure (OCI)でワークロードを実行するには、効率的に運用できるセキュアな環境が必要です。CIS Oracle Cloud Infrastructure Foundations Benchmarkは、OCIテナンシ内のセキュアなランディング・ゾーンを提供します。

このリファレンス・アーキテクチャは、セキュアなCISランディング・ゾーンにソリューションをデプロイするために使用できる様々なネットワーク・セキュリティ・パートナ用のTerraformベースのランディング・ゾーン・テンプレートを提供します。

アーキテクチャ

次の図は、このリファレンス・アーキテクチャを示しています。

図deploy-security-arch.pngの説明

deploy-security-arch-oracle.zip

このアーキテクチャには次のコンポーネントがあります。

• テナント

  テナンシは、サインアップ時にOracleがOCIで設定する、セキュアで分離されたパーティションです。テナンシ内のOCIでリソースを作成、編成および管理できます。

• ポリシー

  OCI Identity and Access Management (IAM)ポリシーは、どのユーザーがどのリソースおよび方法にアクセスできるかを指定します。アクセス権はグループ・レベルおよびコンパートメント・レベルに付与されるため、特定のコンパートメントまたはテナンシ内の特定のアクセスのタイプをグループに付与するポリシーを記述できます。

• コンパートメント
  コンパートメントは、OCIテナンシ内のリージョン間論理パーティションです。コンパートメントを使用してリソースを編成し、リソースへのアクセスを制御し、使用量割当てを設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、リソースにアクセスできるユーザーおよび実行できるアクションを指定するポリシーを定義します。このランディング・ゾーン・テンプレート内のリソースは、次のコンパートメントにプロビジョニングされます。

  • 必要なネットワーク・ゲートウェイを含む、すべてのネットワーキング・リソースのネットワーク・コンパートメント。
  • ロギング、キー管理および通知リソース用のセキュリティ・コンパートメント。
  • コンピュート、ストレージ、関数、ストリーム、Kubernetesノード、APIゲートウェイなど、アプリケーション関連サービス用のアプリケーション開発者コンパートメント。
  • すべてのデータベース・リソース用のデータベース・コンパートメント。

  図のグレーのアイコンは、テンプレートによってプロビジョニングされていないサービスを示しています。

  このコンパートメント設計は、ITの責任がネットワーク、セキュリティ、アプリケーション開発およびデータベース管理者に分離される、様々な組織にわたって観察される基本的な機能構造を反映します。

• 仮想クラウド・ネットワーク(VCN)とサブネット

  VCNは、OCIリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境を完全に制御できます。VCNには複数の重複しないCIDRブロックを含めることができ、VCNの作成後に変更できます。VCNをサブネットに分割できます。サブネットは、リージョンまたは可用性ドメインにスコープ指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレスの範囲で構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。

  このアーキテクチャのすべてのリソースは、ハブおよびスポーク・アーキテクチャにデプロイされます。デミリタリーズ・ゾーン(DNZ)VCN(ハブ)には、ファイアウォール・デプロイメントおよびサブネット用のリソースがあります。管理、屋内、屋外、高可用性、対角サブネットは、展開しようとしているネットワーク・セキュリティ・パートナのファイアウォールに基づいて作成されます。スポークCN(VCN1およびVCN2)には、Web、アプリケーション、データベースの3つの層アプリケーション・サブネットがあります。

• ファイアウォール

  ファイアウォールは、ネットワーク・セキュリティ・パートナが使用できる製品ソリューションです。この場合、DMZ VCN内にデプロイできる仮想マシン(VM)を使用して、OCIテナンシで実行されているワークロードを保護します。ファイアウォールVMは、アクティブ/パッシブまたはアクティブ/アクティブの高可用性モードのいずれかでデプロイできます。

• インターネット・ゲートウェイ

  インターネット・ゲートウェイを使用すると、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。

• 動的ルーティング・ゲートウェイ(DRG)

  DRGは、オンプレミス・ネットワークとVCN間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターで、同じリージョン内またはリージョン間でVCN間のトラフィックのルーティングにも使用できます。

• NATゲートウェイ

  NATゲートウェイを使用すると、VCN内のプライベート・リソースで、それらのリソースを受信インターネット接続に公開することなく、インターネット上のホストにアクセスできます。

• サービス・ゲートウェイ

  サービス・ゲートウェイは、VCNからOCIオブジェクト・ストレージなどの他のサービスへのアクセスを提供します。VCNからのトラフィックは、Oracleネットワーク・ファブリックを介してOracleサービスに移動し、インターネットを通過することはありません。

• Oracle Services Network

  Oracle Services Network (OSN)は、Oracleサービス用に予約されているOCIの概念的なネットワークです。これらのサービスには、インターネットを介してアクセスできるパブリックIPアドレスがあります。OCI以外のホストは、OCI FastConnectまたはVPN接続を使用してOSNにプライベートでアクセスできます。VCN内のホストは、サービスゲートウェイを介してOSNにプライベートにアクセスできます。

• ネットワーク・セキュリティ・グループ(NSG)

  NSGは、クラウド・リソースの仮想ファイアウォールとして機能します。OCIの信頼性がゼロのセキュリティ・モデルを使用すると、すべてのトラフィックが拒否され、VCN内のネットワーク・トラフィックを制御できます。NSGは、単一のVCN内の指定された一連のVNICのみに適用される、一連のイングレスおよび出力セキュリティ・ルールで構成されます。

• イベント

  OCIサービスは、リソースの変更を説明する構造化メッセージであるイベントを発行します。イベントは、作成、読取り、更新または削除(CRUD)操作、リソースのライフサイクル状態変更およびクラウド・リソースに影響するシステム・イベントに対して発行されます。

• 通知

  Oracle Cloud Infrastructure Notificationsサービスは、パブリッシュ/サブスクライブ・パターンで、OCIでホストされているアプリケーションに対するセキュア、高信頼性、低レイテンシおよび永続的なメッセージの配信を通じて、分散コンポーネントにメッセージをブロードキャストします。

• Vault

  OCI Vaultでは、データを保護する暗号化キーと、クラウド内のリソースへのアクセスを保護するために使用するシークレット資格証明を一元的に管理できます。

• ログ
  ロギングは、非常にスケーラブルで完全管理型のサービスで、クラウド内のリソースから次のタイプのログにアクセスできます。

  • 監査ログ:監査サービスによって発行されるイベントに関連するログ
  • サービス・ログ: APIゲートウェイ、イベント、ファンクション、ロード・バランシング、オブジェクト・ストレージ、VCNフロー・ログなどの個々のサービスによって発行されるログ
  • カスタム・ログ:カスタム・アプリケーション、他のクラウド・プロバイダまたはオンプレミス環境の診断情報を含むログ。
• サービス・コネクタ

  OCI Service Connector Hubはクラウド・メッセージ・バス・プラットフォームです。これを使用して、OCIのサービス間でデータを移動できます。データは、サービス・コネクタを使用して移動します。サービス・コネクタは、移動するデータ、データで実行するタスク、および指定されたタスクが完了したときにデータが配信されるターゲット・サービスを含むソース・サービスを指定します。OCIサービス・コネクタ・ハブを使用して、SIEMシステム用のロギング集計フレームワークを迅速に構築できます。

• クラウド・ガード

  Oracle Cloud Guardは、セキュリティの問題を引き起こす可能性のあるリソースの構成設定やリソースに対するアクションについてテナンシを監視することで、OCIでの強力なセキュリティ体制の達成と維持を支援します。

  Oracle Cloud Guardを使用して、OCIでのリソースのセキュリティをモニターおよび保守できます。Cloud Guardは、セキュリティ上の弱点についてリソースを調査し、オペレータやユーザーにリスクのあるアクティビティを監視するために定義できるディテクタ・レシピを使用します。構成の誤りや安全でないアクティビティが検出された場合、Cloud Guardは修正アクションを推奨し、定義できるレスポンダ・レシピに基づいてそれらのアクションを支援します。

• 脆弱性スキャン・サービス

  Oracle Cloud Infrastructure脆弱性スキャン・サービスでは、潜在的な脆弱性についてポートとホストを定期的にチェックすることで、OCIのセキュリティ対策を改善できます。サービスは、これらの脆弱性に関するメトリックと詳細を含むレポートを生成します。

• オブジェクト・ストレージ

  OCI Object Storageでは、データベースのバックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの大量の構造化および非構造化データにすばやくアクセスできます。インターネットまたはクラウド・プラットフォーム内部から、安全かつセキュアにデータを直接格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、ストレージをシームレスにスケーリングできます。標準ストレージは、迅速、即時、頻繁にアクセスする必要があるホットストレージに使用します。長期間保持し、ほとんどまたはほとんどアクセスしないコールド・ストレージにはアーカイブ・ストレージを使用します。

推奨

このリファレンス・アーキテクチャを実装するときは、次の推奨事項を開始点として使用します要件がここで説明するアーキテクチャとは異なる場合があります。

• アクセス権

  ランディング・ゾーン・テンプレートは、テナンシ管理者(管理者グループの任意のメンバー)またはより狭い権限を持つユーザーとしてリソースをプロビジョニングできます。ランディング・ゾーンには、初期プロビジョニング後に個別の管理者グループが各コンパートメントを管理できるようにするポリシーが含まれます。事前構成されたポリシーは網羅的ではありません。Terraformテンプレートにリソースを追加する場合は、必要な他のポリシー・ステートメントを定義する必要があります。

• ネットワーク構成

  ランディング・ゾーン・ネットワークは様々な方法でデプロイできます。1つ以上のスタンドアロンVCN、またはOCI DRG V2サービスを使用したハブおよびスポーク・アーキテクチャで使用できます。インターネットに接続せずにネットワークを構成することもできます。ランディング・ゾーンではスタンドアロンとハブとスポークの切り替えが可能ですが、切り替え時に手動処理が必要な可能性があるため、特定の設計を計画することが重要です。

• ランディング・ゾーン・テンプレートのカスタマイズ

  Terraform構成には、リソースをプロビジョニングするための単一のルート・モジュールと個別のモジュールがあります。このモジュラー・パターンにより、効率的で一貫性のあるコードの再利用が可能になります。コンパートメントやVCNなどのTerraform構成にリソースを追加するには、既存のモジュールを再利用し、ルート・モジュールの既存のコールと同様に、必要なモジュール・コールを追加します。ほとんどのモジュールでは、リソースオブジェクトのマップを受け入れ、通常はリソース名によってキーが設定されます。VCNへのサブネットなどの既存のコンテナ・オブジェクトにオブジェクトを追加するには、既存のサブネット・マップにサブネット・リソースを追加します。

• ファイアウォール構成

  ネットワーク・セキュリティ・パートナ機能に応じて、様々な高可用性モードでファイアウォールをデプロイできます。各パートナのファイアウォール・マネージャを使用して構成を管理することをお薦めします。また、各パートナの公式ドキュメントに従って、必要なポートおよびセキュリティ・ポリシーを構成してください。

注意事項

このリファレンス・アーキテクチャを実装する際には、次の点を考慮してください。

• アクセス権

  ランディング・ゾーン・テンプレートは、テナンシ管理者(管理者グループの任意のメンバー)またはより狭い権限を持つユーザーとしてリソースをプロビジョニングできます。ランディング・ゾーンには、初期プロビジョニング後に個別の管理者グループが各コンパートメントを管理できるようにするポリシーが含まれます。事前構成されたポリシーは網羅的ではありません。Terraformテンプレートにリソースを追加する場合は、必要な追加ポリシー・ステートメントを定義する必要があります。

• ネットワーク構成

  ランディング・ゾーン・ネットワークは様々な方法でデプロイできます。1つ以上のスタンドアロンVCN、またはOCI DRG V2サービスを使用したハブおよびスポーク・アーキテクチャで使用できます。インターネットに接続せずにネットワークを構成することもできます。ランディング・ゾーンではスタンドアロンとハブとスポークの切り替えが可能ですが、切り替え時に手動処理が必要な可能性があるため、特定の設計を計画することが重要です。

• ランディング・ゾーン・テンプレートのカスタマイズ

  Terraform構成には、リソースをプロビジョニングするための単一のルート・モジュールと個別のモジュールがあります。このモジュラー・パターンにより、効率的で一貫性のあるコードの再利用が可能になります。コンパートメントやVCNなどのTerraform構成にリソースを追加するには、既存のモジュールを再利用し、ルート・モジュールの既存のコールと同様に、必要なモジュール・コールを追加します。ほとんどのモジュールでは、リソースオブジェクトのマップを受け入れ、通常はリソース名によってキーが設定されます。VCNへのサブネットなどの既存のコンテナ・オブジェクトにオブジェクトを追加するには、既存のサブネット・マップにサブネット・リソースを追加します。

• ファイアウォール構成
  ネットワーク・セキュリティ・パートナを使用してOCIでクラウド・ワークロードを保護する場合は、次の要因を考慮してください。

  • パフォーマンス
    • 適切なインスタンス・サイズ(コンピュート・シェイプによって決定される)を選択すると、使用可能な最大スループット、CPU、RAMおよびインタフェース数が決まります。
    • 組織は、環境をトラバースするトラフィックのタイプを把握し、適切なリスク・レベルを決定し、必要に応じて適切なセキュリティ制御を適用する必要があります。使用可能なセキュリティ制御の異なる組合せは、パフォーマンスに影響します。
    • FastConnectまたはVPNサービスに専用インタフェースを追加することを検討してください。大規模なコンピュート・シェイプを使用してスループットを向上し、より多くのネットワーク・インタフェースにアクセスすることを検討してください。
    • パフォーマンス・テストを実行して設計を検証すると、必要なパフォーマンスおよびスループットを維持できます。
  • セキュリティ

    OCIにファイアウォール・マネージャをデプロイすると、セキュリティ・ポリシーの一元的な構成と、すべての物理ファイアウォールおよび仮想ファイアウォールの監視が可能になります。

  • 可用性

    冗長性を最大限に高めるために、アーキテクチャを個別の地理的リージョンに配置します。オンプレミス・ネットワークとの冗長接続のために、関連する組織ネットワークを備えたサイト間VPNを構成します。

  • コスト

    ネットワーク・セキュリティ・パートナ・ソリューションはOracle Cloud Marketplaceで利用でき、Pay As You Go (PAYG)またはBring-your-own-license (BYOL)としてデプロイできます。

デプロイ

このリファレンス・アーキテクチャをデプロイするためのTerraformコードは、GitHubで使用できます。

ノート:

ファイアウォールのユース・ケースをサポートする環境にすでにセキュアなランディング・ゾーンをデプロイしている場合は、最初のステップを省略できます。

1. GitHubを使用して、まずセキュアなランディング・ゾーンをデプロイします:
   1. ローカル・コンピュータにリポジトリをクローニングまたはダウンロードします。
   2. Terraform.mdの説明に従って、Terraformを使用してインフラストラクチャをデプロイします。
2. ネットワーク・セキュリティ・パートナ・スタックをローカル・コンピュータにクローニングまたはダウンロードします。

   チェック・ポイント	Terraformスタックを使用して、アクティブ-パッシブ・モードでCloud Guardファイアウォールをデプロイします。
   Cisco	Terraformスタックを使用して、Secure Firewallの脅威防御ソリューションをアクティブ-アクティブ・モードでデプロイします。
   Fortinet	Terraformスタックを使用して、FortiGateファイアウォール・ソリューションをアクティブ-パッシブ・モードでデプロイします。
   Palo Alto Networks	Terraformスタックを使用して、VMシリーズのファイアウォール・ソリューションをアクティブ-パッシブ・モードでデプロイします。

3. Oracle Resource ManagerまたはTerraform CLIを使用して、セキュアなCISランディング・ゾーンにパートナ・ソリューションをデプロイします。各パートナのスタックのREADME.MDファイルの説明に従って、Terraformを使用してインフラストラクチャをデプロイします。

もっとよく知る

Oracle Cloud上のセキュアなCISランディング・ゾーンへのネットワーク・セキュリティ・パートナ・ソリューションの導入について詳しく学習します。

Oracle Cloud Infrastructureでのセキュアな環境の設定と運用について詳しく学習します。

• Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク
• Oracle Cloud Infrastructureのセキュリティ・チェックリスト
• CIS Oracle Cloud Infrastructure Foundations Benchmark
• Oracle CloudのCIS Foundationsベンチマークを満たす、セキュアなランディング・ゾーンのデプロイ

セキュアなランディングゾーンに関する次のブログ投稿を参照してください。

• CIS OCIランディング・ゾーン・クイック・スタート・テンプレート・バージョン2
• CISセキュア・ランディング・ゾーンへのセキュリティ・パートナの追加
• CIS OCIランディング・ゾーンのデプロイメント・モード

OCIでのネットワーク・セキュリティ・パートナのデプロイメントを確認してください。

• Check PointのCloudGuardでクラウド・ワークロードを保護
• 柔軟なネットワーク・ロード・バランサを使用したCisco Threat Defenseによるワークロードの保護
• FortiGateを使用して、Oracle Cloud Infrastructureで実行されるワークロードを保護します
• Palo Alto Networks VMシリーズ・ファイアウォールでアプリケーション・ワークロードを保護