電気通信ネットワークの保護について
5Gは、マシン、オブジェクト、デバイスなど、ほぼすべての人とすべてを接続するように設計されています。5Gテクノロジは、マルチGbpsのピーク・データ速度、超低レイテンシ、信頼性の向上、大規模なネットワーク容量、可用性の向上、より統一されたユーザー・エクスペリエンスを提供することを目的としています。5Gでパフォーマンスを向上し、効率性を向上させることで、新しいユーザー体験を強化し、新しい産業をつなぎます。
リアルタイム通信の世界を急速に進化する中で、組織はもはや主要な通信手段として音声通話に依存しません。今日のUnified Communications and Collaboration(UCC)エコシステムには、ビデオ会議、デスクトップ共有、インスタント・メッセージング、プレゼンス管理、チーム・コラボレーションなど、多くのコンポーネントがあります。これらすべての要素は、SIP (Session Initiation Protocol)というシグナリングプロトコルを誤って必要とします。SIPは、チーム間のビデオ会議、または2人間のコールである通信セッションを開始して終了します。これは、2つ以上のIPエンドポイント間またはSIPアドレス間でデータ・パケットの形式でメッセージを送信することで行われます。SIPは、他のパーティの存在を識別し、接続を確立し、セッションが終了したときに閉じますが、接続中の動作は制御されません。
これはリアルタイム通信の強力で不可欠な部分ですが、様々なベンダー間での実装や、インターネット間でのデータの移動に伴うセキュリティの問題など、課題があります。ここでは、セッション・ボーダー・コントローラが登場します。
セッション境界コントローラは、IP通信フローを保護および規制する専用のデバイス(ハードウェアまたは定義されたソフトウェア)です。セッション・ボーダー・コントローラは、IP通信セッションを制御するためにネットワーク・ボーダーにデプロイされ、サービス・プロバイダは、VoLTE、VoIP、ビデオ会議および通話、プレゼンス、IMおよびIPTVなどの信頼できるキャリア・グレードのリアルタイム通信を、次のコア機能とともに提供できます。
- セキュリティ
Denial of Service (DoS)およびDistributed DoS (DDoS)攻撃に対する保護、合計詐欺やサービス盗難に対する保護、メディアおよびシグナリングの暗号化を提供して、機密性を確保し、偽装や不正行為から保護します。
- マルチベンダーの相互運用性
マルチベンダーの非互換性を軽減するために、SIP (セッション開始プロトコル)シグナリング・ストリーム・ヘッダーおよびメッセージを正規化します。
- プロトコルのインターワーク
多様なプロトコルまたは多様なコード間のインターワークを有効にします。
- サービス品質(QoS)
コールアドミッション制御(CAC)ポリシー、サービス・タイプ(ToS)マーキングまたはサービス品質保証のレート制限を適用します。
- セッション・ルーティング
ネットワーク・インタフェース間でセッションをルーティングして、高い可用性を確保するか、最低限のコスト・ルーティング(LCR)を有効にします。
非常に多くのコア・ネットワーク機能により、SBCは通信サービス・プロバイダとそのイネーブラおよびコンシューマにとって重要なネットワーク機能になります。
アーキテクチャ
このアーキテクチャは、Oracle Cloud Infrastructure (OCI)リージョンの1つの可用性ドメインで異なるフォルト・ドメインにデプロイされているOracle Communications Session Border Controllerインスタンスのアクティブ/スタンバイ・ペアを示しています。
図session- border- controller- oci.pngの説明
session- border- controller- oci- oracle.zip
このアーキテクチャでは、次のコンポーネントがサポートされます。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的な領域です。リージョンは他のリージョンから独立しており、巨大な距離は(国全体または大陸にわたって)分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各アベイラビリティ・ドメインの物理リソースは、フォルト・トレランスを提供する他のアベイラビリティ・ドメインのリソースから分離されます。アベイラビリティ・ドメインは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャを共有しません。そのため、1つの可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響しない可能性があります。
- フォルト・ドメイン
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各アベイラビリティ・ドメインに3つのフォルト・ドメインがあり、電源とハードウェアが独立しています。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは、フォルト・ドメイン内の物理サーバーの障害、システム・メンテナンスおよび電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNはネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックでもプライベートでもかまいません。
- セキュリティ・リスト
サブネットごとに、サブネットの内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- ルート表
仮想ルート表には、サブネットからVCN外部の宛先(通常はゲートウェイを介して)にトラフィックをルーティングするルールが含まれます。
- インターネット・ゲートウェイ
インターネット・ゲートウェイを使用すると、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。
- ネットワーク・アドレス変換(NAT)ゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースは、着信インターネット接続にそれらのリソースを公開することなく、インターネット上のホストにアクセスできます。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and never traverses the internet.
- 動的ルーティング・ゲートウェイ(DRG)
DRGは、VCNとリージョン外のネットワーク(別のOracle Cloud Infrastructureリージョン内のVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダ内のネットワークなど)間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。
- サイト間VPN
Site- to- Site VPNは、オンプレミス・ネットワークとOracle Cloud InfrastructureのVCNとの間にIPSec VPN接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号します。
- セッション・ボーダー・コントローラ
Oracle Communications Session Border Controllerは、固定線、モバイルおよびOTT (OTT)サービス用の業界をリードするセッション境界コントローラ(SBC)です。
Oracle Communications Session Border Controllerが提供する機能は、セキュリティ、相互運用性、信頼性および品質、規制コンプライアンス、収益およびコスト最適化の5つの主要領域におけるクリティカル・サービス・プロバイダ要件を満たします。
- VMシステム
Oracle Cloud Infrastructure VM (仮想マシン)システムは、物理コンピュータ上で実行するすべてのソフトウェアを実行するために使用できる「ソフトウェアで構成されたコンピュータ」です。物理マシンと同様に、仮想マシンには独自のオペレーティング・システム、ストレージ、ネットワーキング、構成設定およびソフトウェアがあり、そのホストで実行されている他のVMから完全に分離されています。VMシステムは、小規模な開発プロジェクトからリアルタイム通信プラットフォームなどの大規模なグローバル・アプリケーションまで、様々なワークロードに対応するセキュアで柔軟なコンピュート能力をクラウドで提供します。柔軟なシェイプにより、カスタマイズされたプロセッサおよびメモリー値を使用してVMリソースを最適化し、価格性能を向上できます。
- 要塞VM
SIPpy Oracle VMホスト上に構築された要塞。
- VNIC
仮想ネットワーク・インタフェース・カード(VNIC)により、インスタンスはVCNに接続でき、インスタンスがVCN内外のエンドポイントに接続する方法を決定できます。各VNICはVCN内のサブネットに存在し、次のアイテムを含みます:
- ユーザーまたはOracleのいずれかによって選択された、VNICが存在するサブネットにおけるプライマリ・プライベートIPv4アドレス。
- ユーザーまたはOracleのいずれかによって選択された、VNICが存在する同じサブネットにおけるオプションのセカンダリ・プライベートIPv4アドレス。
- Oracleによって選択されたが、ユーザーによって任意に割り当てられた、各プライベートIPに対するオプションのパブリックIPv4アドレス。
- 各プライベートIPアドレスのDNSのオプションのホスト名。
- MACアドレス。
- Oracleによって割り当てられたVLANタグで、VNICからインスタンスへの接続が完了した場合に使用できます(ベア・メタル・インスタンスにのみ適用されます)。
- VNICのネットワーク・トラフィックでソース/宛先チェックを有効化または無効化するフラグ。
- 選択した1つ以上のネットワーク・セキュリティ・グループ(NSG)内のオプションのメンバーシップ。NSGには、そのNSGのVNICにのみ適用されるセキュリティ・ルールがあります。
- オプションのIPv6アドレス。IPv6アドレス指定は、すべての商業リージョンおよび政府リージョンでサポートされています。
- OCI DevOps
Oracle Cloud Infrastructure (OCI) DevOpsは、開発者がソフトウェア開発ライフサイクルを簡素化および自動化するために、OCIコンピュート・プラットフォームへのソフトウェアの提供およびデプロイメントを自動化する、継続的な統合/配信(CI/CD)サービスです。
- オブジェクト・ストレージ
オブジェクト・ストレージでは、データベースのバックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、シームレスにストレージを拡張できます。迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。アーカイブ・ストレージは、長期間保持し、ほとんどまたはめったにアクセスしないコールド・ストレージに使用します。
- クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティをモニターおよび保守できます。Cloud Guardでは、ディテクタ・レシピを使用して、セキュリティの弱点を調べたり、オペレータおよびユーザーにリスクのあるアクティビティを監視したりするために定義できます。構成の誤りや安全でないアクティビティが検出されると、クラウド・ガードは、定義できるレスポンダ・レシピに基づいて、修正アクションを推奨し、それらのアクションの実行を支援します。