このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント
Free Tierを試してみる

VCNセキュリティ・ルールおよびセキュリティ・リスト

Compute Cloud@Customerでは、VCNセキュリティには、セキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)に収集されるルールの作成および使用が含まれます。

ルールは、ステートフルまたはステートレスにできます。ステートフル・ルールは、インスタンスの相互作用に関する様々なことを前提としています。たとえば、インスタンスへのリクエストに適用されるステートフル・ルールは、レスポンスがあり、このレスポンスを自動的に許可すると想定します。対照的に、ステートレス・ルールは相互作用について何も想定しません。ステートレス・ルールは、あるインスタンスから別のインスタンスへのメッセージであり、以前に行ったことに関係なくすべてに適用されます。ステートフル・ルールでは、ステートレス・ルールにない状態を追跡するためにオーバーヘッド処理が必要です。Webサイトなど、トラフィックが大きく異なるインスタンスは、システム負荷を最小限に抑えるために、可能な場合はステートレス・ルールを使用する必要があります。

ノート

ステートレス・ルールおよびステートフル・ルールを作成する場合は注意が必要です。ステートフル・ルール基準とステートレス・ルール基準の両方に適合するメッセージが表示された場合は、ステートレス・ルールが適用されます。この結果、リクエストに対するレスポンスがブロックされ、許可されているように見えます。

VCNに、デフォルト・セキュリティ・リストを使用するサブネットがある場合があります。最初にVCNのリソースでそれらが必要でないことを確認した場合を除き、リストのデフォルト・セキュリティ・ルールは削除しないでください。そうしないと、VCN接続が中断されることがあります。

次のことに注意してください。

  • セキュリティ・ルールはデフォルトではステートフルですが、ステートレスとして構成することもできます。一般的に、高パフォーマンスのアプリケーションにはステートレス・ルールを使用します。ネットワーク・トラフィックがステートフルおよびステートレス両方のセキュリティ・リストと一致する場合は、ステートレス・ルールが優先されます。VCNセキュリティ・ルールの構成の詳細は、セキュリティ・ルールを参照してください。

  • コンピュート・インスタンスへの不正アクセスまたは攻撃を防ぐために、VCNセキュリティ・ルールを使用して、SSHまたはRDPアクセスをインターネット(0.0.0.0/0)に開いたままにするのではなく、認可されたCIDRブロックからのみ許可することをお薦めします。セキュリティを強化するために、VCN API UpdateNetworkSecurityGroupRules (ネットワーク・セキュリティ・グループを使用している場合)またはUpdateSecurityList (セキュリティ・リストを使用している場合)を使用して、必要に応じてSSH (ポート22)またはRDP (port 3389)アクセスを一時的に有効にできます。

    RDPアクセスの有効化の詳細は、推奨ネットワーキング起動タイプRDPアクセスを有効にするにはを参照してください。

    インスタンスのヘルス・チェックを実行する場合は、ICMP pingを許可するようにVCNセキュリティ・ルールを構成することをお薦めします。詳細は、Pingを有効にするルールを参照してください。

VCNのネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・リストによって、コンピュート・インスタンスに対するセキュリティが重要なネットワーク・アクセス制御が有効になります。NSGおよびセキュリティ・リストに対する意図しない変更または認可されていない変更を防ぐことが重要です。認可されていない変更を防ぐために、IAMポリシーを使用して、ネットワーク管理者のみがNSGおよびセキュリティ・リストを変更できるようにすることをお薦めします。

VCNのデフォルト・セキュリティ・リストには、ステートレス・ルールはありません。すべてのデフォルト・セキュリティ・リスト・ルールはステートフルです。ほとんどの場合、認可されたサブネットからのインバウンド・トラフィックのみを許可するようにデフォルト・ルールを変更する必要があります。

デフォルト・セキュリティ・リスト・ルール

  • ステートフル・イングレス:認可されたソースIPアドレスおよびすべてのソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。このルールにより、新しいクラウド・ネットワークおよびパブリック・サブネットを簡単に作成し、Linuxインスタンスを開いて、すぐにSSHを使用してそのインスタンスに接続できます。このため、セキュリティ・リスト・ルールを自分で記述する必要はありません。

  • ステートフル・イングレス:認可されたソースIPアドレスからのICMPトラフィック・タイプ3コード4を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryフラグメンテーション・メッセージを受信できます。

  • ステートフルイングレス: VCN CIDRブロックからのICMPトラフィック・タイプ3 (すべてのコード)を許可します。このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを簡単に受信できます。

  • ステートフル・エグレス:すべてのトラフィックを許可します。これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。これは、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味しています。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なくレスポンス・トラフィックは自動的に許可されます。

セキュリティ・リスト・ルールの変更

RDP

デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Microsoft Windowsイメージを使用している場合は、認可されたソースIPアドレスおよび任意のソース・ポートから宛先port 3389のTCPトラフィックのステートフル・イングレス・ルールを追加してください。

インスタンスのping

デフォルト・セキュリティ・リストには、pingリクエストを許可するルールは含まれていません。インスタンスをpingする場合は、インスタンスの適用可能なセキュリティ・リストに、ping元となる予定のソース・ネットワークからのICMPトラフィック・タイプ8を許可する追加のステートフル・イングレス・ルールが含まれていることを確認してください。データ・センターからのpingアクセスを許可するには、ソースに0.0.0.0/0を使用します。pingのこのルールは、デフォルト・セキュリティ・リストにあるデフォルトのCMP関連ルールとは別です。これらのルールは削除できません。

Path MTU Discoveryフラグメンテーション・メッセージ

ステートレス・セキュリティ・ルールを使用してVCN外のエンドポイントとの間のトラフィックを許可する場合は、ソース0.0.0.0/0および任意のソース・ポートからのイングレスICMPトラフィック・タイプ3コード4を許可するセキュリティ・ルールを追加することが重要です。このルールを使用すると、インスタンスでPath MTU Discoveryフラグメンテーション・メッセージを受信できます。このルールは、インスタンスとの接続を確立するために重要です。これがない場合、接続性の問題が発生する可能性があります。

UDP

インスタンスはUDPトラフィックを送受信できます。場合によっては、MTUサイズが小さいリンクで UDPパケットが断片化されることがあります。接続サイズ制限のUDPパケットが大きすぎる場合は、断片化されます。ただし、パケットの最初のフラグメントにのみ、プロトコルとポートの情報が含まれます。このイングレス・トラフィックまたはエグレス・トラフィックを許可するセキュリティ・ルールで特定のポート番号(ソースまたは宛先)を指定すると、最初のもの以降のフラグメントが削除されます。インスタンスで大規模なUDPパケットを送受信する場合は、適用可能なセキュリティ・ルールのソース・ポートと宛先ポートの両方をALLに設定します(特定のポート番号は使用しません)。

サブネットおよびセキュリティ・ルール

セキュリティ・リストでは、サブネット全体のすべてのVNICに適用されるセキュリティ・ルールのセットが単独で定義されます。特定のサブネットで特定のセキュリティ・リストを使用するには、サブネットの作成中または作成後に、そのサブネットにセキュリティ・リストを関連付けます。サブネットは、最大5つのセキュリティ・リストに関連付けることができます。そのサブネット内に作成されたすべてのVNICは、サブネットに関連付けられたセキュリティーリストに従います。

この記事は役に立ちましたか。