ネットワークの保護に関するガイドライン

初期化中、コア・ネットワーク・コンポーネントは既存のデータ・センター・ネットワーク設計と統合されます。Compute Cloud@Customerスイッチのアップリンク・ポートは、次のレベルのデータ・センター・スイッチに接続して、すべてのトラフィックをCompute Cloud@Customerとの間で送受信する冗長な高速および高帯域幅の物理接続を提供します。

この環境は、Compute Cloud@Customerネットワーキングの保護に関して、いくつかの結果をもたらします。

• データ・センター内に設置され、オンプレミス・ネットワークに直接接続されているラック。クラウド・リソースとオンプレミス・ネットワークが通信できるように、インターネット上のセキュアなトンネルは必要ありません。アクセスは、仮想クラウド・ネットワーク(VCN)とオンプレミス・ネットワークの間のゲートウェイを介して有効になります。

• インターネット・アクセス(インバウンドまたはアウトバウンド)に関して、クラウド環境のリソースには直接インターネット・アクセスがありません。パブリック・クラウド環境とは対照的に、VCNに対して直接インターネット接続を有効にできるゲートウェイはありません。データ・センターのネットワーキング・コンポーネントの構成によって、クラウド・リソースがインターネットに接続する方法と、インターネットからアクセス可能かどうかが決まります。

• 一般的に、この環境は、Compute Cloud@Customer仮想ネットワークがパブリック・インターネットの脅威から適切に分離されていることを意味します。ただし、このプライベート・ネットワーク内でパブリックIPアドレスを使用できます。パブリックIPは、リソースが存在するVCNの外部からリソースにアクセスできるようにします。「パブリック」とみなされるIPアドレスは、実際にはデータ・センターのプライベート範囲の一部です。

それにもかかわらず、クラウド・ネットワーク・セキュリティを制御し、コンピュート・インスタンスにアクセスするために実行できるステップがあります:

• インスタンスにパブリックIPアドレスが必要ない場合は、プライベート・サブネットを使用します。

• インスタンスに対するファイアウォール・ルールを構成して、パケット・レベルでのインスタンスとの間のトラフィックを制御します。ただし、Oracle Linuxを実行するCompute Cloud@Customer提供のイメージには、SSHトラフィック用のTCPポート22のイングレスを許可するデフォルト・ルールが自動的に含まれています。また、Microsoft Windowsイメージには、リモート・デスクトップ・アクセス用のTCP port 3389でのイングレスを許可するデフォルト・ルールが含まれています。

• 必要な接続のみを許可するようにゲートウェイおよびルート表を構成します。これにより、オンプレミス・ネットワークや別のVCNなどの外部の宛先へのトラフィック・フローを制御できます。

• IAMポリシーを使用して、Compute Cloud@Customerインタフェースへのアクセスを制御します。アクセスできるクラウド・リソースと、許可されるアクセスのタイプを制御できます。たとえば、ネットワークとサブネットを設定できるユーザー、またはルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。

ネットワークセキュリティーの詳細は、Network Security Guidelinesを参照してください。