仮想ファイアウォール

Roving Edgeデバイスでは、ネットワーキング・サービスは、セキュリティ・ルールを使用してパケット・レベルでトラフィックを制御する2つの仮想ファイアウォール機能(セキュリティ・リストとネットワーク・セキュリティ・グループ(NSG))を提供します。これらは、一連の仮想ネットワーク・インタフェース・カード(VNIC)にセキュリティ・ルールを適用する様々な方法を提供します。

• セキュリティ・リスト:

  セキュリティ・リストは、セキュリティ・ルールをサブネット・レベルで定義します。つまり、特定のサブネット内のすべてのVNICが同じルールに従います。各VCNには、必須トラフィックのデフォルト・ルールを含むデフォルト・セキュリティが付属しています。デフォルトのセキュリティ・リストは、カスタム・セキュリティ・リストが指定されていないかぎり、すべてのサブネットで自動的に使用されます。サブネットには、最大5つのセキュリティ・リストを関連付けることができます。

• ネットワーク・セキュリティ・グループ(NSG):

  ネットワーク・セキュリティ・グループは、メンバーシップに基づいてセキュリティ・ルールを定義します。そのセキュリティ・ルールは、NSGに明示的に追加されるリソースに適用されます。VNICは、最大5つのNSGに追加できます。NSGは、同じセキュリティ・ポスチャを持つ一連のクラウド・リソースに対して仮想ファイアウォールを提供することを目的としています。たとえば、同じタスクを実行するため、すべて同じポート・セットを使用する必要があるインスタンスのグループです。

NSGではVCNサブネット・アーキテクチャをアプリケーション・セキュリティ要件から分離できるため、Oracleではセキュリティ・リストのかわりにNSGを使用することをお薦めします。ただし、NSGは特定のサービスに対してのみサポートされます。特定のセキュリティ・ニーズに応じて、セキュリティ・リストとNSGの両方を一緒に使用できます。

VCN内のすべてのVNICに対して適用するセキュリティ・ルールがある場合、最も簡単な解決策は、ルールを1つのセキュリティ・リストに配置し、そのセキュリティ・リストをVCN内のすべてのサブネットに関連付けることです。これにより、組織内の誰がVCNでVNICを作成するかに関係なく、ルールを確実に適用できます。または、必要なセキュリティ・ルールをVCNのデフォルト・セキュリティ・リストに追加できます。

セキュリティ・リストとネットワーク・セキュリティ・グループを結合することを選択した場合、特定VNICに適用される一連のルールは次の項目を結合したものです:

• VNICのサブネットに関連付けられているセキュリティ・リストのセキュリティ・ルール

• VNICが存在しているすべてのNSGのセキュリティ・ルール

関連するいずれかのリストおよびグループの任意のルールがトラフィックを許可する場合、またはトラフィックがステートフル・ルールのためにトラッキング対象の既存の接続の一部である場合、目的のパケットが許可されます。