仮想ファイアウォール

Compute Cloud@Customerでは、ネットワーキング・サービスは、セキュリティ・ルールを使用してパケット・レベルでトラフィックを制御する2つの仮想ファイアウォール機能(セキュリティ・リストとネットワーク・セキュリティ・グループ(NSG)を提供します。これらは、一連の仮想ネットワークインタフェースカード(VNIC)にセキュリティールールを適用するためのさまざまな方法を提供します。

• セキュリティ・リスト:

  セキュリティーリストはサブネットレベルでセキュリティールールを定義します。これは、特定のサブネット内のすべてのVNICが同じ規則に従うことを意味します。各VCNには、必須トラフィックのデフォルト・ルールを含むデフォルト・セキュリティが付属しています。デフォルトのセキュリティ・リストは、カスタム・セキュリティ・リストが指定されていないかぎり、すべてのサブネットで自動的に使用されます。サブネットには、最大5つのセキュリティ・リストを関連付けることができます。

• ネットワーク・セキュリティ・グループ(NSG):

  ネットワーク・セキュリティ・グループは、メンバーシップに基づいてセキュリティ・ルールを定義します。そのセキュリティ・ルールは、NSGに明示的に追加されるリソースに適用されます。VNICは、最大5つのNSGに追加できます。NSGは、同じセキュリティ体制のクラウド・リソースのセットに対して仮想ファイアウォールを提供することを目的としています。たとえば、同じタスクを実行するため、すべて同じポート・セットを使用する必要があるインスタンスのグループです。

NSGではVCNサブネット・アーキテクチャをアプリケーション・セキュリティ要件から分離できるため、Oracleではセキュリティ・リストのかわりにNSGを使用することをお薦めします。ただし、NSGは特定のサービスに対してのみサポートされます。特定のセキュリティ・ニーズに応じて、セキュリティ・リストとNSGの両方を一緒に使用できます。

VCN内のすべてのVNICに対して強制するセキュリティ・ルールがある場合、最も簡単な解決策は、ルールを1つのセキュリティ・リストに入れてから、そのセキュリティ・リストをVCN内のすべてのサブネットに関連付けることです。これにより、組織内の誰がVCNでVNICを作成するかに関係なく、ルールを確実に適用できます。または、必要なセキュリティ・ルールをVCNのデフォルト・セキュリティ・リストに追加できます。

セキュリティ・リストとネットワーク・セキュリティ・グループを結合することを選択した場合、特定VNICに適用される一連のルールは次のアイテムの結合になります。

• VNICサブネットに関連付けられているセキュリティ・リストのセキュリティ・ルール

• VNICが存在しているすべてのNSGのセキュリティ・ルール

関連するいずれかのリストおよびグループのルールでトラフィックの許可する場合(またはトラフィックが既存のトラッキング対象の接続の一部である場合)、目的とするパケットが許可されます。