Oracle Cloud Infrastructureドキュメント

ネットワークを保護する方法

クラウド・ネットワークおよびコンピュート・インスタンスのセキュリティを制御するには、いくつかの方法があります:

  • パブリック・サブネットとプライベート・サブネット: サブネットをプライベートに指定できます。つまり、サブネット内のインスタンスはパブリックIPアドレスを持つことができません。詳細は、パブリック・サブネットとプライベート・サブネットを参照してください。
  • セキュリティ・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。セキュリティ・ルールは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。セキュリティ・ルールを実装するには、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用します。詳細は、セキュリティ・ルールを参照してください。
  • ゼロ・トラスト・パケット・ルーティング: ゼロ・トラスト・パケット・ルーティング(ZPR)をネットワーク・セキュリティ・グループとともにまたはネットワーク・セキュリティ・グループのかわりに使用して、OCIリソースへのネットワーク・アクセスを制御できます。そのためには、セキュリティ属性を適用し、ZPRポリシーを作成してそれらの間の通信を制御します。詳細は、Zero Trust Packet Routingを参照してください。
    注意

    エンドポイントにZPRセキュリティ属性がある場合、エンドポイントへのトラフィックは、すべてのNSGルールおよびセキュリティ・リスト・ルールに加えてZPRルールを満たす必要があります。たとえば、すでにNSGを使用しており、セキュリティ属性をエンドポイントに適用すると、その属性が適用されるとすぐに、エンドポイントへのすべてのトラフィックがブロックされます。その後、ZPRポリシーでエンドポイントへのトラフィックを許可する必要があります。
  • ファイアウォール・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。ファイアウォール・ルールはインスタンス自体で直接構成します。Oracle Linuxを実行するプラットフォーム・イメージには、SSHトラフィック用のTCPポート22のイングレスを許可するデフォルト・ルールが自動的に含まれています。また、Windowsイメージには、リモート・デスクトップ・アクセス用のTCPポート3389のイングレスを許可するデフォルト・ルールが含まれています。詳細は、プラットフォーム・イメージを参照してください。
    重要

    ファイアウォール・ルールとセキュリティ・ルールの両方がインスタンス・レベルで動作します。ただし、セキュリティ・リストをサブネット・レベルで構成することにより、特定のサブネット内のすべてのリソースがセキュリティ・リスト・ルールの同じセットを持ちます。また、ネットワーク・セキュリティ・グループ内のセキュリティ・ルールは、グループ内のリソースにのみ適用されます。インスタンスへのアクセスのトラブルシューティングを行う際は、次のすべての項目が正しく設定されていることを確認してください: インスタンスが存在するネットワーク・セキュリティ・グループ、インスタンスのサブネットに関連付けられているセキュリティ・リスト、およびインスタンスのファイアウォール・ルール。

    If an instance is running Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7, or Oracle Linux Cloud Developer 8, you need to use firewalld to interact with the iptables rules.参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

    ISCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。

  • ゲートウェイおよびルート表: クラウド・ネットワークから外部の宛先(インターネット、オンプレミス・ネットワークまたは別のVCN)への一般的なトラフィック・フローを制御します。クラウド・ネットワークのゲートウェイおよびルート表は、Oracle Cloud Infrastructure APIまたはコンソールで構成されます。ゲートウェイの詳細は、ネットワーキング・コンポーネントを参照してください。ルート表の詳細は、VCNルート表を参照してください。
  • IAMポリシー: Oracle Cloud Infrastructure API自体またはコンソール自体にアクセスできるユーザーを制御します。アクセスのタイプと、アクセスできるクラウド・リソースを制御できます。たとえば、ネットワークとサブネットを設定できるユーザー、またはルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。ポリシーは、Oracle Cloud Infrastructure APIまたはコンソールで構成されます。詳細は、アクセス制御を参照してください。
  • セキュリティ・ゾーン: ネットワークおよびその他のクラウド・リソースがOracleのセキュリティ原則およびベスト・プラクティスに必ず準拠するように、それらをセキュリティ・ゾーン内に作成できます。セキュリティ・ゾーンはコンパートメントに関連付けられ、すべてのネットワーク管理操作をセキュリティ・ゾーン・ポリシーに照らしてチェックします。たとえば、セキュリティ・ゾーンでパブリックIPアドレスの使用を許可せず、プライベート・サブネットのみを含めることができるようにします。詳細は、セキュリティ・ゾーンの概要を参照してください。