ネットワークのファイアウォール

Oracle Cloud Infrastructure(OCI)Network Firewallは、機械学習を活用したクラウドネイティブのファイアウォールです。高度な侵入検知および防止機能を備え、Palo Alto Networks® NGFWテクノロジーのサポートによりスケーリングが自動で行われます。

OCI Network Firewallのユースケース

OCI Network Firewallの他のシナリオを見る

OCI Network Firewallのユースケースの図と説明

この図は、OCI Network Firewallの4つの一般的なユースケースを示しています。

  1. ネイティブのマネージド・ネットワーク・ファイアウォール・サービスを使用
  2. オンプレミス環境とOCI間のトラフィックを保護
  3. OCIとインターネット間のトラフィックを保護
  4. 仮想クラウド・ネットワーク間のトラフィックを保護

ネイティブのマネージド・ネットワーク・ファイアウォール・サービスを使用
この1つ目のユースケースでは、仮想クラウド・ネットワーク内のネットワーク・ファイアウォールを、仮想マシンやオブジェクト・ストレージなどの他のクラウドネイティブ・サービスとともに示しています。

OCI Network Firewallは、Oracle Cloud Infrastructureに完全に統合されたクラウドネイティブのマネージド・サービスです。

オンプレミス環境とOCI間のトラフィックを保護
2つ目のユースケースでは、仮想クラウド・ネットワークが顧客のオンプレミス環境に論理的に接続されています。仮想クラウド・ネットワークにあるネットワーク・ファイアウォールでは、オンプレミス環境からのネットワーク・トラフィックが論理的に流入した後、仮想クラウド・ネットワーク内のリソース(仮想マシンとして図示)に到達できます。

ネットワーク・ファイアウォールは、オンプレミス環境との間で送受信されるすべてのトラフィックを検査します。これにより、オンプレミス環境でのアクションやトラフィックから、OCI内のリソースを保護します。

OCIとインターネット間のトラフィックを保護
3つ目のユースケースでは、仮想クラウド・ネットワークがインターネットに論理的に接続されています。仮想クラウド・ネットワークにあるネットワーク・ファイアウォールでは、インターネットからのネットワーク・トラフィックが論理的に流入します。

この仮想クラウド・ネットワークはさらに、リソース(ここでは仮想マシンとして図示)のある別の仮想クラウド・ネットワークに論理的に接続しています。

ネットワーク・ファイアウォールは、インターネットとの間で送受信されるすべてのトラフィックを検査します。これにより、インターネットから仮想クラウド・ネットワーク内のリソースの機能にアクセスしようとするアクションやトラフィックから、OCIのリソースを保護します。

仮想クラウド・ネットワーク間のトラフィックを保護
4つ目のユースケースでは、3つの仮想クラウド・ネットワークがあります。1つ目と3つ目の仮想クラウド・ネットワークは、どちらも2つ目の仮想クラウド・ネットワークに論理的に接続されています。1つ目と3つ目の仮想クラウド・ネットワークにはリソース(ここでは仮想マシンとして図示)があります。

1つ目と3つ目の仮想クラウド・ネットワークにあるリソース間で流れるトラフィックはすべて、ネットワーク・ファイアウォールのある2つ目の仮想クラウド・ネットワークを通過する必要があります。

ネットワーク・ファイアウォールは、1つ目と3つ目の仮想クラウド・ネットワーク間を流れるすべてのトラフィックを検査し、一方の仮想クラウド・ネットワークにあるリソースを他方の悪意のあるアクティビティから保護します。

OCI Network Firewallのメリット


1. OCIネットワークに影響を与えずに追加

既存のネットワーク・フローを妨げることなく、OCI Network Firewallをお客様の環境に追加できます。

2. カスタマイズ可能で緻密なセキュリティ・ポリシー

OCI Network Firewallは、従来のプロトコル・フィルタリングや、アプリケーション固有のトラフィック認識(2024年半ば時点)を含む、緻密なセキュリティ・ポリシーを備えており、プロトコルやポートにとどまらずに攻撃対象領域を縮小します。

3. 脅威に対する高度な保護および防止

OCI Network Firewallに搭載されたクラス最高の脅威エンジンは、既知のマルウェア、スパイウェア、コマンド・アンド・コントロール攻撃、および脆弱性攻撃に対して自動的に対応するように設計されています。Palo Alto Networksの高度なテクノロジーが、侵入を検出して防止します。

OCI Network Firewallの仕組み

OCI Network Firewallは、Palo Alto Networksを活用した、OCI VCN向けの次世代のマネージド・ネットワーク・ファイアウォールと侵入検知および防止サービスです。

サブネット内に作成するOCI Network Firewallのインスタンスは、可用性とスケーラビリティに優れています。ファイアウォールは、ファイアウォール・ポリシーで規定されたビジネス・ロジックを適用し、ネットワーク・トラフィックにアタッチします。ファイアウォールとの間のトラフィック転送には、VCN内のルーティングが使用されます。OCI Network Firewallは4 Gb/秒のスループットを提供しますが、最大25 Gbpsまでの増加をリクエストできます。最初の10 TBのデータは追加料金なしで処理されます。

ファイアウォール・ポリシーは、ネットワーク・プロトコル・タイプ、ポート番号を含むTCPまたはUDPプロトコル、オプションのワイルドカードを含む完全修飾ドメイン名、URL、IPアドレス(IPv4とIPv6の両方をサポート)といった、各種属性の組合せに基づいて、トラフィックを識別します。ポリシーにより、トラフィックの受入れ、トラフィックの拒否、侵入の有無の検査、侵入に対する積極的な防御を行うことができます。

OCI Network Firewallは通常、OCIと外部環境(オンプレミス・システム、インターネット、その他のクラウドなど)との間のトラフィックを保護する目的で導入します。また、2つのVCN間など、内部のOCIトラフィックを保護することもできます。

ドキュメントを読む

Network Firewallの図と説明

この図に示すリソースと接続の論理レイアウトは、OCI Network Firewallを導入してネットワーク・トラフィックを検査し保護できることを示しています。

単一の仮想クラウド・ネットワークが含まれている、一般的なOCIリージョンを示しています。仮想クラウド・ネットワーク内には3つのサブネットがあります。1つ目のサブネットには、仮想クラウド・ネットワークの外部からアクセスでき、ネットワーク・ファイアウォールが含まれています。ネットワーク・ファイアウォールのIPアドレスは192.168.0.10です。

このサブネットにはリソースもあり、ここでは仮想マシンとして示されています。仮想マシンのIPアドレスは192.168.0.97です。

2つ目のサブネットはプライベートです。これにはフレキシブル・ロード・バランサーが含まれており、ネットワーク・ファイアウォールのあるサブネットと双方向に接続されています。フレキシブル・ロード・バランサーのIPアドレスは192.168.1.15です。

3つ目のサブネットはプライベートで、リソース(ここでは2つの仮想マシンとして図示)が含まれています。仮想マシンのIPアドレスは、192.168.20.1と192.168.20.2です。このサブネットは2つ目のサブネットに双方向に接続されています。

1つ目のサブネットにあるネットワーク・ファイアウォールはインターネット・ゲートウェイと動的ルーティング・ゲートウェイに接続されており、どちらも仮想クラウド・ネットワークで使用できます。

インターネット・ゲートウェイはインターネットに双方向に接続されています。

動的ルーティング・ゲートウェイはオンプレミス環境内の顧客構内機器に双方向に接続されています。

インターネットからのトラフィックは、最初にインターネット・ゲートウェイを通過し、次にネットワーク・ファイアウォールに到達します。トラフィックはネットワーク・ファイアウォールによって検査されます。トラフィックの通過が許可された場合は、同じサブネット内のリソースに渡すことも、2つ目のサブネット内のロード・バランサーに渡すこともできます。その後、トラフィックは3つ目のサブネット内のリソースに転送されます。

一方、オンプレミス環境からのトラフィックは、最初に動的ルーティング・ゲートウェイを通過し、次にネットワーク・ファイアウォールに到達します。トラフィックはネットワーク・ファイアウォールによって検査されます。トラフィックの通過が許可された場合は、同じサブネット内のリソースに渡すことも、2つ目のサブネット内のロード・バランサーに渡すこともできます。その後、トラフィックは3つ目のサブネット内のリソースに転送されます。

製品ツアー

MLを活用したネットワーク防御の設定

ネットワーク・ファイアウォール・ビューの作成

ネットワーク・ファイアウォールの作成

ネットワーク・ファイアウォールのインスタンスにより、ポリシー、VCN、およびVCN内のサブネットを結びつけます。追加オプションの指定、スコープの制限、タグのアタッチが可能です。

セキュリティ・ルール・ビューの作成

セキュリティ・ルールの作成

セキュリティ・ポリシーは、セキュリティ・ルールで構成されます。セキュリティ・ルールにより、ソース・アドレス、宛先アドレス、アプリケーション、サービス、およびURLの組合せを、アクションと結びつけます。

アプリケーション・ビューの作成

アプリケーション・リストの作成

アプリケーションは、セキュリティ・ポリシーのトラフィックの識別に使用できるプロトコル・タイプを選択するものです。一般的なタイプのリストから選択することも、プロトコル番号を入力することもできます。

複数のアプリケーションを組み合わせて便利なアプリケーション・リストを作成することもできます(図示はしていません)。

サービス・ビューの作成

サービス・リストの作成

サービスは、セキュリティ・ポリシーのトラフィックの識別に使用できるTCPまたはUDPプロトコルを選択するものです。1つまたは複数の範囲を入力できます。

複数のサービスを組み合わせて便利なサービス・リストを作成することもできます(図示はしていません)。

URLリスト・ビューの作成

URLリストの作成

URLはリソース名(多くの場合、Webアドレス)のリストで、セキュリティ・ポリシーのトラフィックの識別に使用できます。1つのリストに最大1,000個のURLを入力できます。

サービス・ビューの作成

アドレス・リストの作成

セキュリティ・ポリシーのトラフィックの識別に使用できる、IPアドレスのリスト(IPv4とIPv6の両方)またはCIDRブロック範囲を作成します。1つのリストに最大1,000個のアドレス(または範囲)を入力できます。

リファレンス・アーキテクチャ

十分な計画の下でネットワークを設計することにより、実装の成功に向けて準備を整えることができ、チームや組織にとってネットワークをより使いやすいものにすることができます。導入前にネットワーク設計を計画することで、すべての要件を満たすように設計を行うことができ、導入の成功を妨げる潜在的な障壁を回避できます。

OCI Network Firewall - 概念と導入

このブログでは、OCI Network Firewallの一般的な機能とその導入方法について説明します。

OCI Network FirewallによるWebサイトとアプリケーションの保護

このハンズオン・チュートリアルでは、複数のバックエンドに導入された複数のWebサイトやアプリケーションに転送されるトラフィックを、OCI Network FirewallとOCI Load Balancerを使用して保護する方法をご紹介します。

SSLインバウンド検査を使用したOCI Network Firewallトラフィックの復号化

このブログでは、RSAパブリック証明書を使用したOCI Network FirewallでのインバウンドSSL復号化について説明します。

リソース

Network Firewallを使い始める


Oracle Cloud Free Tier

Oracle Cloudでアプリケーションを無料で構築、テスト、デプロイしましょう。一度サインアップすると、2つの無料オファーにアクセスできます。


営業へのお問い合わせ

Oracle Cloud Infrastructureの詳細にご関心をお持ちの場合は、当社のエキスパートにお問い合わせください。

* ネットワーク・ファイアウォールのご利用には、従量制課金かUniversal Credits契約のいずれかでご利用いただく有料のOCIアカウントが必要です。