セキュリティ・リスト
Compute Cloud@Customerでは、セキュリティ・リストは、インスタンスの仮想ファイアウォールとして機能します。イングレス・ルールとエグレス・ルールでは、送受信を許可されるトラフィック・タイプを指定します。
各セキュリティ・リストはVNICレベルで適用されます。ただし、セキュリティ・リストはサブネット・レベルで構成します。そのため、特定サブネット内のすべてのVNICに、同じセキュリティ・リスト・セットが適用されます。
セキュリティ・リストは、VCN内の別のインスタンスと通信しているのか、VCN外部のホストと通信しているのかに関係なく、特定のVNICに適用されます。各サブネットには複数のセキュリティ・リストを関連付けることができます。また、各リストには複数のルールを含めることができます。
各VCNには、デフォルト・セキュリティ・リストが付属しています。サブネットにカスタム・セキュリティ・リストを指定しない場合、デフォルト・セキュリティ・リストがそのサブネットで自動的に使用されます。デフォルト・セキュリティ・リストのルールを追加および削除できます。ステートフル・ルールの初期セットがあり、認可されたサブネットからのインバウンド・トラフィックのみを許可するように変更する必要があります。デフォルト・ルールは次のとおりです。
-
ステートフル・イングレス:認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。
このルールでは、新しいクラウド・ネットワークおよびパブリック・サブネットを作成し、Linuxインスタンスを作成し、すぐにSSHを使用してそのインスタンスに簡単に接続できます。その際、セキュリティ・リスト・ルールを自分で記述する必要はありません。
デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれません。Compute Cloud@Customerイメージを使用している場合は、認可されたソースIPアドレスおよび任意のソース・ポートから宛先port 3389のTCPトラフィックのステートフル・イングレス・ルールを追加します。
-
ステートフル・イングレス: 認可されたソースIPアドレスからのICMPトラフィック・タイプ3コード4を許可します。
このルールにより、インスタンスはPath MTU Discoveryフラグメンテーション・メッセージを受信できるようになります。
-
ステートフル・イングレス: VCNのCIDRブロックからのICMCPトラフィック・タイプ3(すべてのコード)を許可します。
このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを受信できます。
-
ステートフル・エグレス: すべてのトラフィックを許可します。
これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。つまり、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味します。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。
セキュリティ・リストの作業の一般的なプロセスは、次のとおりです。
-
セキュリティ・リストを作成します。
-
セキュリティ・リストにセキュリティ・ルールを追加します。
-
セキュリティ・リストを1つ以上のサブネットに関連付けます。
-
コンピュート・インスタンスなどのリソースをサブネットに作成します。
セキュリティ・ルールはそのサブネット内のすべてのVNICに適用されます。
サブネットを作成するとき、少なくとも1つのセキュリティ・リストを関連付ける必要があります。VCNのデフォルト・セキュリティ・リストか、すでに作成済の他の1つ以上のセキュリティ・リストのいずれかになります。いつでもサブネットが使用するセキュリティ・リストを変更できます。セキュリティ・リストに対して、ルールを追加または削除できます。セキュリティ・リストにルールを含めることはできません。
詳細は、セキュリティ・リストを使用したトラフィックの制御を参照してください。