Oracle Cloud Infrastructureドキュメント

セキュリティ・リスト

ネットワーキング・サービスには、パケット・レベルでトラフィックを制御するために2つの仮想ファイアウォール機能が用意されています:

  • セキュリティ・リスト: このトピックで説明します。これは、ネットワーキング・サービスが提供する元のタイプの仮想ファイアウォールです。
  • ネットワーク・セキュリティ・グループ: セキュリティ・リストよりも推奨される別のタイプの仮想ファイアウォールです。ネットワーク・セキュリティ・グループを参照してください。

これらの機能はどちらもセキュリティ・ルールを使用します。セキュリティ・ルールの仕組みに関する重要な情報、およびセキュリティ・リストとネットワーク・セキュリティ・グループの一般的な比較については、セキュリティ・ルールを参照してください。

ハイライト

  • セキュリティ・リストは、コンピュート・インスタンスや他の種類のリソースで仮想ファイアウォールとして機能します。セキュリティ・リストは、セキュリティ・リストが関連付けられているサブネット内のすべてのVNICに適用される、イングレスおよびエグレス・セキュリティ・ルールのセットで構成されます。これは、特定のサブネット内のすべてのVNICが同じセキュリティ・リストのセットの対象であることを意味します。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。
  • セキュリティ・リスト・ルールは、ネットワーク・セキュリティ・グループ・ルールと同様に機能します。ルール・パラメータの詳細は、セキュリティ・ルールの構成要素を参照してください。
  • 各VCNには、必須のトラフィックに対応する複数のデフォルト・ルールを持つデフォルト・セキュリティ・リストが付属しています。サブネットにカスタム・セキュリティ・リストを指定しない場合、デフォルト・セキュリティ・リストがそのサブネットで自動的に使用されます。デフォルト・セキュリティ・リストに対して、ルールを追加または削除できます。
  • セキュリティ・リストには、ネットワーク・セキュリティ・グループと比較して異なる個別の制限があります。制限を参照してください。

セキュリティ・リストの概要

セキュリティ・リストは、インスタンスの仮想ファイアウォールとして機能し、内外で許可されるトラフィック・タイプを指定するイングレスおよびエグレス・ルールが含まれます。各セキュリティ・リストはVNICレベルで適用されます。ただし、セキュリティ・リストをサブネット・レベルで構成することにより、特定のサブネット内のすべてのVNICがセキュリティ・リストの同じセットの対象となります。セキュリティ・リストは、特定のVNICに対して、VCN内の別のインスタンスと通信しているか、またはVCN外部のホストと通信しているかに関係なく適用されます。

各サブネットには複数のセキュリティ・リストを関連付けることができ、各リストには複数のルールを含めることができます(最大数については、制限を参照)。いずれかのリストのルールでトラフィックを許可する場合(またはトラフィックがトラッキング対象の既存の接続の一部である場合)、目的のパケットは許可されます。同じトラフィックをカバーするステートフル・ルールとステートレス・ルールの両方がリストに含まれる場合は注意が必要です。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。

セキュリティ・リストはリージョナル・エンティティです。セキュリティ・リストに関連する制限については、制限を参照してください。

セキュリティ・リストでは、IPv4とIPv6のトラフィックを両方とも制御できます。ただし、IPv6アドレス指定および関連するセキュリティ・リスト・ルールは、現在、米国Government Cloudでのみサポートされています。詳細は、IPv6アドレスを参照してください。

デフォルト・セキュリティ・リスト

各クラウド・ネットワークには、デフォルト・セキュリティ・リストがあります。VCN用の他のセキュリティ・リストを作成することもできます。サブネットの作成中に他のセキュリティ・リストを1つ以上指定しない場合、指定したサブネットにはデフォルト・セキュリティ・リストが自動的に関連付けられます。サブネットの作成後はいつでも、そのサブネットに関連付けるセキュリティ・リストを変更できます。また、リスト内のルールを変更できます。

他のセキュリティ・リストとは異なり、デフォルト・セキュリティ・リストにはステートフル・ルールの初期セットが付属しますが、これは変更できます:

  • ステートフル・イングレス: ソース0.0.0.0/0および任意のソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。このルールにより、新しいクラウド・ネットワークおよびパブリック・サブネットを簡単に作成し、Linuxインスタンスを起動し、すぐにSSHを使用してそのインスタンスに接続できます。その際、セキュリティ・リスト・ルールを自分で記述する必要はありません。

    重要

    デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Windowsイメージを使用している場合は、ソース0.0.0.0/0および任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールを必ず追加してください。

    詳細は、RDPアクセスを有効にするにはを参照してください。

  • ステートフル・イングレス: ソース0.0.0.0/0からのICMPトラフィック・タイプ3のコード4を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。

  • ステートフルイングレス: ソース = VCNのCIDRからのICMPトラフィック・タイプ3 (すべてのコード)を許可します。このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを簡単に受信できます。
  • ステートフル・エグレス: すべてのトラフィックを許可します。これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。これは、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味しています。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートフル・ルールの接続トラッキングの詳細を参照してください。

デフォルト・セキュリティ・リストには、ステートレス・ルールはありません。ただし、必要に応じて、デフォルト・セキュリティ・リストに対してルールを追加または削除することができます。

VCNでIPv6アドレス指定が有効になっている場合(現在、これはGovernment Cloudでのみサポートされています)、デフォルト・セキュリティ・リストにIPv6トラフィック用のデフォルト・ルールが含まれています。詳細は、IPv6アドレスを参照してください。

Pingの有効化

デフォルト・セキュリティ・リストには、pingリクエストを許可するルールは含まれていません。インスタンスのpingを予定している場合は、Pingを有効化するルールを参照してください。

セキュリティ・ルール

セキュリティ・ルールの基本をまだ把握していない場合は、セキュリティ・ルールのトピックで次の項を参照してください:

セキュリティ・リストの作業

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用して、クラウド・リソースに説明、タグまたはわかりやすい名前を割り当てる場合、機密情報を入力することは避けてください。

セキュリティ・リストの作業の一般的なプロセス

  1. セキュリティ・リストを作成します。
  2. セキュリティ・リストにセキュリティ・ルールを追加します。
  3. セキュリティ・リストを1つ以上のサブネットに関連付けます。
  4. サブネットにリソースを作成します(たとえば、サブネットにコンピュート・インスタンスを作成します)。セキュリティ・ルールはそのサブネット内のすべてのVNICに適用されます。VNICと親リソースについてを参照してください。

追加の詳細

サブネットを作成するとき、少なくとも1つのセキュリティ・リストを関連付ける必要があります。これは、VCNのデフォルト・セキュリティ・リストか、すでに作成されている1つ以上の他のセキュリティ・リスト(最大数についてはサービス制限を参照)のいずれかです。いつでもサブネットが使用するセキュリティ・リストを変更できます。

オプションとして、作成時にセキュリティ・リストにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をセキュリティ・リストに自動的に割り当てます。詳細は、リソース識別子を参照してください。

アクセス制御の目的のために、セキュリティ・リストを配置するコンパートメントを指定する必要があります。使用するコンパートメントが不明な場合は、組織の管理者に問い合せてください。詳細は、アクセス制御を参照してください。

セキュリティ・リストは、コンパートメント間で移動できます。セキュリティ・リストを移動しても、そのサブネットに対するアタッチメントに影響を与えることはありません。セキュリティ・リストを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、セキュリティ・リストへのアクセスが影響を受けます。詳細は、コンパートメントの管理を参照してください。

セキュリティ・リストに対して、ルールを追加または削除できます。セキュリティ・リストにルールを含めないことも可能です。APIでセキュリティ・リストを更新すると、既存のルール・セット全体が新しいルール・セットに置き換えられます。

セキュリティ・リストを削除するには、サブネットに関連付けられていない必要があります。VCNのデフォルト・セキュリティ・リストは削除できません。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が記述するポリシー で、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどれを使用しているかにかかわらず、必要なアクセスのタイプを付与されている必要があります。アクションを実行しようとしたときに、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセスのタイプと作業するコンパートメントを管理者に確認してください。

管理者用: ネットワーク管理者によるクラウド・ネットワークの管理のポリシーは、セキュリティ・リストを含むすべてのネットワーキング・コンポーネントの管理をカバーします。

セキュリティ・リストを管理する必要があるが、ネットワーキングの他のコンポーネントは管理する必要がないセキュリティ管理者がいる場合は、より制限的なポリシーを作成できます:

Allow group SecListAdmins to manage security-lists in tenancy

Allow group SecListAdmins to manage vcns in tenancy

セキュリティ・リストの作成はセキュリティ・リストが含まれるVCNに影響するため、どちらのステートメントも必要です。同様に、2番目のステートメントの有効範囲により、SecListAdminsグループはVCNを作成できます。ただし、このグループは、サブネットを作成したり、これらのVCN (セキュリティ・リストを除く)に関連する他のコンポーネントを管理することはできません。これらのリソースには追加の権限が必要になるためです。また、このグループは、サブネットがすでに含まれる既存のVCNを削除することもできません。そのアクションにはサブネットに関連する権限が必要になるためです。

詳細は、ネットワーキングに対するIAMポリシーを参照してください。

コンソールの使用

VCNのデフォルト・セキュリティ・リストを表示するには
既存のセキュリティ・リスト内のルールを更新するには
セキュリティ・リストを作成するには
サブネットが使用するセキュリティ・リストを変更するには
セキュリティ・リストを別のコンパートメントに移動するには
セキュリティ・リストを削除するには
セキュリティ・リストのタグを管理するには

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

VCNのセキュリティ・リストを管理するには、次の操作を使用します:

このトピックは移動しました。2秒後にリダイレクトされない場合は、次のリンクをクリックしてください: セキュリティ・リスト。