セキュリティ・リスト
Roving Edgeデバイスでは、セキュリティ・リストは、インスタンスの仮想ファイアウォールとして機能します。イングレスおよびエグレス・ルールでは、入出力を許可されるトラフィック・タイプを指定します。
各セキュリティ・リストはVNICレベルで適用されます。ただし、セキュリティ・リストはサブネット・レベルで構成します。そのため、特定サブネット内のすべてのVNICに、同じセキュリティ・リスト・セットが適用されます。
セキュリティ・リストは、特定のVNICに対して、VCN内の別のインスタンスと通信するか、またはVCN外のホストと通信するかに関係なく適用されます。各サブネットには複数のセキュリティ・リストを関連付けることができるため、各リストには複数のルールを含めることができます。
各VCNには、デフォルト・セキュリティ・リストが付属しています。サブネットにカスタム・セキュリティ・リストを指定しない場合、デフォルト・セキュリティ・リストがそのサブネットで自動的に使用されます。デフォルト・セキュリティ・リストでは、ルールを追加および削除できます。ステートフル・ルールの初期セットがあり、認可されたサブネットからのインバウンド・トラフィックのみを許可するように変更する必要があります。デフォルト・ルールは次のとおりです。
-
ステートフル・イングレス:認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。
このルールでは、新しいクラウド・ネットワークおよびパブリック・サブネットを作成し、Linuxインスタンスを作成した後、すぐにSSHを使用して、セキュリティ・リスト・ルールを自分で記述する必要なく、このインスタンスに接続できます。
デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれません。Roving Edgeイメージを使用している場合は、認可されたソースIPアドレスおよび任意のソース・ポートから、宛先port 3389のTCPトラフィックのステートフル・イングレス・ルールを追加します。
-
ステートフル・イングレス: 認可されたソースIPアドレスからのICMPトラフィック・タイプ3コード4を許可します。
このルールにより、インスタンスはPath MTU Discoveryフラグメンテーション・メッセージを受信できるようになります。
-
ステートフル・イングレス: VCNのCIDRブロックからのICMPトラフィック・タイプ3 (すべてコード)を許可します。
このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを受信できます。
-
ステートフル・エグレス: すべてのトラフィックを許可します。
これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。つまり、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味します。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。
セキュリティ・リストの作業の一般的なプロセスは、次のとおりです。
-
セキュリティ・リストを作成します。
-
セキュリティ・リストにセキュリティ・ルールを追加します。
-
セキュリティ・リストを1つ以上のサブネットに関連付けます。
-
サブネットにコンピュート・インスタンスなどのリソースを作成します。
セキュリティ・ルールはそのサブネット内のすべてのVNICに適用されます。
サブネットを作成するとき、少なくとも1つのセキュリティ・リストを関連付ける必要があります。VCNのデフォルト・セキュリティ・リストか、すでに作成した1つ以上の他のセキュリティ・リストのいずれかになります。いつでもサブネットが使用するセキュリティ・リストを変更できます。セキュリティ・リストに対して、ルールを追加または削除できます。セキュリティ・リストにルールを含めることはできません。
詳細は、セキュリティ・リストによるトラフィックの制御を参照してください。