仮想ファイアウォール

Compute Cloud@Customerでは、ネットワーキング・サービスには、セキュリティ・リストとネットワーク・セキュリティ・グループ(NSG)という2つの仮想ファイアウォール機能があり、どちらもセキュリティ・ルールを使用してパケット・レベルでトラフィックを制御します。仮想ネットワーク・インタフェース・カード(VNIC)のセットにセキュリティ・ルールを適用するには、様々な方法があります。

• セキュリティ・リスト:

  セキュリティ・リストは、サブネット・レベルでセキュリティ・ルールを定義します。つまり、特定のサブネット内のすべてのVNICが同じルールに従うことになります。各VCNには、必須のトラフィックのデフォルト・ルールを含むデフォルト・セキュリティが付属しています。デフォルトのセキュリティ・リストは、カスタム・セキュリティ・リストが指定されていないかぎり、すべてのサブネットで自動的に使用されます。1つのサブネットには、最大5つの関連付けられたセキュリティ・リストを含めることができます。

• ネットワーク・セキュリティ・グループ(NSG):

  ネットワーク・セキュリティ・グループは、メンバーシップに基づいてセキュリティ・ルールを定義します。セキュリティ・ルールは、NSGに明示的に追加されるリソースに適用されます。VNICは、最大5つのNSGに追加できます。NSGは、同じセキュリティ・ポスチャを持つ一連のクラウド・リソースに仮想ファイアウォールを提供することを目的としています。たとえば、同じタスクを実行するため、同じポート・セットを使用する必要があるインスタンスのグループです。

NSGでは、VCNサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、Oracleでは、セキュリティ・リストではなくNSGを使用することをお薦めします。ただし、NSGは特定のサービスに対してのみサポートされます。特定のセキュリティ・ニーズに応じて、セキュリティ・リストとNSGの両方を一緒に使用できます。

VCN内のすべてのVNICに適用するセキュリティ・ルールがある場合、最も簡単な解決策は、ルールを1つのセキュリティ・リストに配置してから、そのセキュリティ・リストをVCN内のすべてのサブネットに関連付けることです。これにより、組織内の誰がVCNでVNICを作成するかにかかわらず、ルールを確実に適用できます。または、必要なセキュリティ・ルールをVCNのデフォルト・セキュリティ・リストに追加できます。

セキュリティ・リストとネットワーク・セキュリティ・グループの組合せを選択した場合、特定のVNICに適用される一連のルールは次のアイテムを結合したものになります:

• VNICサブネットに関連付けられているセキュリティ・リスト内のセキュリティ・ルール

• VNICが使用されているすべてのNSGのセキュリティ・ルール

関連するいずれかのリストおよびグループのルールでトラフィックを許可する場合、またはステートフル・ルールのためにトラフィックがトラッキング対象の既存の接続の一部である場合、目的のパケットは許可されます。