Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI Network Firewall 概要
Search
oracle4engineer
PRO
November 18, 2024
Technology
1
4.7k
OCI Network Firewall 概要
OCI Network Firewallのテクニカルな概要資料です
oracle4engineer
PRO
November 18, 2024
Tweet
Share
More Decks by oracle4engineer
See All by oracle4engineer
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
1
4.8k
[自動バックアップのコスト比較]リカバリ・サービス (RCV/ZRCV) とオブジェクト・ストレージ
oracle4engineer
PRO
3
2.3k
[Oracle TechNight#85] Oracle Autonomous Databaseを使ったAI活用入門
oracle4engineer
PRO
1
140
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
1
290
【Oracle Cloud ウェビナー】OCIを活用!エンタープライズ企業でのアプリのモダナイズ最新動向
oracle4engineer
PRO
2
79
【Oracle Cloud ウェビナー】リアルタイム・データ活用と自律型データベースの最新潮流:100の実例から学ぶ
oracle4engineer
PRO
3
51
Kubernetesトラフィックルーティング徹底解説/Kubernetes-traffic-deep-dive
oracle4engineer
PRO
6
1.2k
OCI Oracle Database Services新機能アップデート(2024/09-2024/11)
oracle4engineer
PRO
1
180
OCI GoldenGate サービス・アップデート(FY25)
oracle4engineer
PRO
1
58
Other Decks in Technology
See All in Technology
クレカ・銀行連携機能における “状態”との向き合い方 / SmartBank Engineer LT Event
smartbank
2
100
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
32k
プロダクト組織で取り組むアドベントカレンダー/Advent Calendar in Product Teams
mixplace
0
160
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
300
20241218_今年はSLI/SLOの導入を頑張ってました!
zepprix
0
180
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
190
.NET 9 のパフォーマンス改善
nenonaninu
0
1.5k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
500
AWS re:Invent 2024で発表された コードを書く開発者向け機能について
maruto
0
210
AWS re:Invent 2024 recap
hkoketsu
0
110
PHP ユーザのための OpenTelemetry 入門 / phpcon2024-opentelemetry
shin1x1
3
1.5k
Qiita埋め込み用スライド
naoki_0531
0
5.3k
Featured
See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
YesSQL, Process and Tooling at Scale
rocio
170
14k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Adopting Sorbet at Scale
ufuk
73
9.1k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Gamification - CAS2011
davidbonilla
80
5.1k
Making the Leap to Tech Lead
cromwellryan
133
9k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Facilitating Awesome Meetings
lara
50
6.1k
Transcript
OCI Network Firewall概要 2024年11月 日本オラクル株式会社 Ver. 3.2
OCIネイティブの次世代ファイアウォール Network Firewall 2 Copyright © 2024 Oracle and/or its
affiliates. All rights reserved. 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 - 4Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、 それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 VTAPのミラーパケットを検査するトンネル・インスペクション 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕
ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいて トラフィックを許可または拒否する ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -
宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル 例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 3
インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限 ファイアウォール・ポリシーのルール要素として使用することができ 条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/
- www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 4 URLフィルタリング
不正侵入検知・防止(IDS・IPS) 5 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する
不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2024 Oracle and/or its affiliates. All rights reserved.
TLSで暗号化されたHTTPS通信をNetwork Firewallが 復号し、本来は暗号化されて可視化できない通信内容に 対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は
OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施 復号後のトラフィック検査には、侵入検知・防止の脅威分析 エンジンにより、マルウェアや不正なアクテビティを検出・遮断 Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 6 SSLインスペクション
SSLフォワード・プロキシの動作 7 Copyright © 2024 Oracle and/or its affiliates. All
rights reserved. Client Network Firewall Server ①クライアント側から サーバーへのSSL接続開始 ②ファイアウォールがクライアントからの SSL接続リクエストを受け取って一時保留 ③ファイアウォールがサーバーへのSSL接続開始 ④サーバーから証明書をファイアウォールへ送付 ⑤ファイアウォールが証明書をチェックし、自らの証明書を用いて サーバー証明書をサインしてからクライアントへ送付 ⑥クライアントがファイアウォールからの 証明書をチェック ⑦クライアントからファイアウォールへ、ファイアウォールからサーバーへのそれぞれのSSL接続が完了し通信開始 ファイアウォールがサーバーからきたトラフィックを復号してからセキュリティルールにより内容をチェックし、問題ないトラフィックを再暗号化してクライアントに送る
SSLインバウンド・インスペクションの動作 8 Copyright © 2024 Oracle and/or its affiliates. All
rights reserved. Client Network Firewall Server ①ファイアウォールにサーバーの証明書と秘密鍵を配置 ②クライアント側からサーバーへの TLS接続開始 ③ファイアウォールがサーバーの証明書とプライベートキーを用いて、トラフィックを復号し その中身をチェックする ④ファイアウォールが透過的にSSLトラフィックの復号し、セキュリティルールの内容に沿ってチェックする
Network Firewallは、必ず一つのファイアウォールポリシーが必要 ファイアウォールポリシーは、セキュリティ・ルールと復号ルールから構成される セキュリティ・ルールまたは復号ルールが複数ある場合は、適用オーダーに従って順番にルールを判定する ファイアウォール・ポリシーの構成要素 Copyright © 2024 Oracle and/or
its affiliates. All rights reserved. 9 Network Firewall セキュリティ・ルール リスト ルール・アクション 復号ルール 条件 ルール・アクション ファイアウォール・ポリシー
リスト ファイアウォール・ポリシーの構成要素 10 概要 設定例 アプリケーションリスト 拒否または許可するアプリケーション ※2023年10月時点ではICMPのみ 対応プロトコル: ICMPまたはICMPv6
ICMPタイプ:0-8, ICMPコード: 0-3 指定可能最大数: 2500 ICMP: ICMPタイプ 8(エコー), ICMPコード 0 サービスリスト 拒否または許可するプロトコル・ポートの組み合わせ 対応プロトコル: TCP, UDP ポート範囲: 0-65535 指定可能最大数: 2000 SSH: TCP/22 HTTPS: TCP/443 範囲指定: TCP/5901-5910 URLリスト 拒否または許可するURL URLのマッチングに(*)ワイルドカード、(^)キャレットが使用可 http//またはhttps://はリストには含めない 指定可能最大数: 1000 *.example.com www.docs.example.comや www.example.com.uaはマッチする mail.^.com mail.example.com はマッチするが mail.example.sso.comはマッチしない IPアドレスリスト 拒否または許可するIPアドレス, CIDRブロック IPv4、IPv6に対応 指定可能最大数: 20000 10.0.0.0/16 10.1.0.0/24 2001:DB8::/32 2603:c020:0:6a00::/56 リストは、セキュリティ・ルールで条件として使用される要素 Copyright © 2024 Oracle and/or its affiliates. All rights reserved.
ファイアウォール・ポリシーの構成要素 セキュリティ・ルール セキュリティ・ルールは、リストとルール・アクションを紐づけ、ファイアウォール・ポリシーの核となる要素 ルール・アクションは、リストに該当した場合のファイアウォールの動作を指定する セキュリティ・ルールは、最大10000まで作成することができ、それぞれのルールに適用オーダーを指定する どのルールにも該当しない場合は、トラフィックは拒否される ルールアクションの侵入検知、侵入防止は、ブルートフォースや不正なコード実行などのトラフィックを監視し遮断する 侵入検知・侵入防止の脅威シグネチャは、Palo Alto Networksから最新が提供される
JSONファイルによるバルクインポートが可能 11 リスト ルール・アクション (※いずれかひとつを選択) セキュリティルール アプリケーションリスト サービスリスト URLリスト IPアドレスリスト トラフィックの許可 トラフィックの削除 侵入検知 侵入防止 トラフィックの拒否 Copyright © 2024 Oracle and/or its affiliates. All rights reserved.
12 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション:トラフィックの許可 ルール1 ソースIP:
172.16.2.100 宛先IP: 172.16.1.0/24 サービスリスト: 3389,5801/TCP ルール・アクション:トラフィックの許可 ルール2 セキュリティ・ルール ルール1では、接続元IPの制限なくSSHの接 続を許可、ルール2では、特定のIPから リモートデスクトップのポートを許可する設定 ルールにマッチしない場合はデフォルトで拒否 ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション:侵入防止 ルール1 Network Firewallを通過するすべてのトラ フィックは侵入防止(IPS)にてチェックされる ※任意はすべてを意味する ソースIP: 172.16.0.0/16 宛先IP: 172.16.0.0/16 サービスリスト: 80,443/TCP URLリスト: customapp.com ルール・アクション:トラフィックの許可 ルール1 ルール1: 社内WEBシステムのアクセスを限定 ルール2: SSHのアクセスを限定 ルール3: 上記ルールに該当しないすべての トラフィックを対象に侵入検知(IDS)でチェック Copyright © 2024 Oracle and/or its affiliates. All rights reserved. ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション:侵入検知 ルール3 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション:トラフィックの許可 ルール2 ファイアウォール・ポリシーの構成要素 セキュリティ・ルールの動作例
復号ルール SSLインスペクションに必要な復号ルールは、条件(IPアドレス)とルール・アクションで構成される 復号ルールは、最大で1000まで作成することができ、それぞれのルールに適用オーダーを指定する 復号に必要な使用なシークレット(秘密鍵と証明書のセット)は、OCI Vaultのシークレットに格納する SSLフォワード・プロキシは、CAの証明書と秘密鍵が必要 SSLフォワード・プロキシに対応するシークレットの指定は1つのみ SSLインバウンド・インスペクションは、対象とするWebサーバーのサーバー証明書と秘密鍵が必要 SSLインバウンド・インスペクションに対応するシークレットは、300まで ファイアウォール・ポリシーの構成要素
13 Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 条件 ルールアクション 復号ルール ソースIPアドレス 宛先IPアドレス (IPアドレスリストから、もしくはすべてのIPアドレス) SSLフォワード・プロキシを含むトラフィックを復号 SSLインバウンド・インスペクションを含むトラフィックを復号 復号化しない
ファイアウォール・ポリシーの構成要素 復号プロファイル 14 タイプ 動作オプション 概要 SSLフォワード プロキシ 期限切れ証明書をブロック サーバの証明書が期限切れの場合はセッションをブロック
信頼されていない発行者をブロック サーバの証明書が信頼されていない認証局(CA)によって発行されている場合、セッションをブロック ブロック・タイムアウト証明書 証明書のステータス・チェックがタイムアウトした場合にセッションをブロック サポートされていない暗号のブロック SLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック 不明な証明書をブロック 証明書ステータスが「不明」として返された場合、セッションをブロック 証明書拡張の制限 拡張をキー用途と拡張キー用途に制限 代替名の自動インクルード サーバ証明書がない場合、サブジェクト代替名(SAN)を偽装証明書に自動的に追加 リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック SSLインバウンド インスペクション サポートされていないバージョンのセッションをブロック サポートされていないバージョンのSSLプロトコルを持つセッションをブロック サポートされていない暗号のブロック SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック Copyright © 2024 Oracle and/or its affiliates. All rights reserved. SSLインスペクション実行時にセッション・モードのチェック、サーバーのチェックおよび失敗のチェックを制御する
Copyright © 2024 Oracle and/or its affiliates. All rights reserved.
15 Network Firewallインスタンスのメトリック - 送信パケット数、受信パケット数 - セキュリティ・ルールヒット数、復号ルールヒット数 メトリックを基に、パフォーマンス監視や 検知またはブロックしている該当セキュリティ・ルールなどを把握 メトリックは指定された値に到達した際、管理者への アラート通知も可能 Network Firewallのログは、Loggingサービスによって Threatログ、Trafficログとして管理 ログは、 JSONフォーマット, 最大6カ月保存 Service Connector Hubと連携することで、オブジェクト ストレージやLogging Anlayticsに長期保存することが可能 メトリックおよびログによる監視・分析
Network Firewallログのサービス連携 16 Service Connector Hubから直接Logging Analyticsにデータ連携し、詳細なログ分析が可能 Logging Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -
OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Copyright © 2024 Oracle and/or its affiliates. All rights reserved. Logging Service Connector Hub Logging Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Logging Analyticに 直接転送する 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析
検出された不正トラフィック例 Copyright © 2024 Oracle and/or its affiliates. All rights
reserved. 17 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか? 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLogging Analyticsのものです
Network Firewallでインターネットアクセスを監視する基本的な設定例 インバウンドおよびアウトバウンド・トラフィックを保護 18 Copyright © 2024 Oracle and/or its
affiliates. All rights reserved. VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ : インバウンド : アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる
Internet Gateway + Load Balancer トラフィック監視 Copyright © 2024 Oracle
and/or its affiliates. All rights reserved. 19 Tokyo Region nwfw-vcn1 172.16.0.0/21 Firewall Subnet 172.16.2.0/24 Internet Gateway Network Firewall 172.16.2.31 Internet Destination CIDR Route Target 0.0.0.0/0 IGW Private Subnet 172.16.1.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.2.31 Instance Public Subnet 172.16.0.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.2.31 Load Balancer 193.122.183.219 Internet Gateway RouteTable Destination CIDR Route Target 172.16.0.0/24 172.16.2.31 172.16.1.0/24 172.16.2.31 Route Table Route Table Route Table
NAT Gateway トラフィック監視 Copyright © 2024 Oracle and/or its affiliates.
All rights reserved. 20 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 NAT Gateway Network Firewall 172.16.3.202 Internet Private Subnet 172.16.4.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.202 Instance NAT Gateway RouteTable Destination CIDR Route Target 0.0.0.0/0 NATGW Destination CIDR Route Target 172.16.4.0/24 172.16.3.202 Route Table Route Table
サブネット間トラフィック監視 (Intra-VCNルーティング) Copyright © 2024 Oracle and/or its affiliates. All
rights reserved. 21 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 Network Firewall 172.16.3.202 Destination CIDR Route Target Private Subnet 172.16.1.0/24 Destination CIDR Route Target 172.16.2.0/24 172.16.3.202 Instance Private Subnet 172.16.2.0/24 Destination CIDR Route Target 172.16.1.0/24 172.16.3.202 Instance Route Table Route Table Route Table
オンプレミスとVCN間のトラフィック監視 Copyright © 2024 Oracle and/or its affiliates. All rights
reserved. 22 On-Premises 10.0.0.0/16 Customer Premises Equipment Tokyo Region Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.101 Destination CIDR Route Target 10.0.0.0/16 DRG Site-to-Site VPN DRG Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 10.0.0.0/16 172.16.0.101 VCN Route Table Destination CIDR Route Target 172.16.0.0/21 172.16.0.101 Route Table Route Table
VCN間トラフィック監視 (Hub & Spoke) Copyright © 2024 Oracle and/or its
affiliates. All rights reserved. 23 Tokyo Region Spoke-VCN 1 172.16.1.0/24 Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 172.16.0.0/24 DRG 172.16.2.0/24 DRG Spoke-VCN 2 172.16.2.0/24 Private Subnet 172.16.2.0/24 Instance Destination CIDR Route Target 172.16.0.0/24 DRG 172.16.1.0/24 DRG Hub-VCN 172.16.0.0/24 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.114 Destination CIDR Route Target 172.16.1.0/21 DRG 172.16.2.0/21 DRG Attachment Name DRG Route Hub-VCN 172.16.1.0/24 -> Spoke-VCN1 172.16.2.0/24 -> Spoke-VCN2 Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Route Route Table Route Table Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 172.16.1.0/24 172.16.0.114 172.16.2.0/24 172.16.0.114 DRG Spoke-VCN1,VCN2のトラフィックは Network Firewallを必ず経由する DRG Route Route Table ( アウトバウンド・ルーティング用)
Tokyo Region オンプレミスとVCN間のトラフィック監視 (IPSec-VPN + Hub & Spoke) Copyright ©
2024 Oracle and/or its affiliates. All rights reserved. 24 Private Subnet 192.168.1.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 192.168.2.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 192.168.0.0/24 Firewall Private Subnet 192.168.0.0/24 Network Firewall 192.168.0.105 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 0.0.0.0/0 192.168.0.105 DRG Route Route Table ( アウトバウンド・ルーティング用) On-Premises 172.16.0.0/21 Customer Premises Equipment Site-to-Site VPN Spoke-VCN 1 192.168.1.0/24 Spoke-VCN 2 192.168.2.0/24 Attachment Name DRG Route Hub-VCN 192.168.1.0/24 → Spoke1-VCN 192.168.2.0/24 -> Spoke2-VCN 172.16.0.0/21 -> IPSec Tunnel Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN DRG Destination CIDR Route Target 192.168.1.0/24 Hub-VCN 192.168.2.0/24 Hub-VCN IPSec DRG Table
Tokyo Region Spoke-VCN 1 192.168.8.0/21 Private Subnet 192.168.8.0/24 Backend Set
VM 192.168.8.209 Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 192.168.0.0/21 Attachment Name DRG Route Hub-VCN 192.168.8.0/24 → Spoke-VCN1 192.168.16.0/24 → Spoke-VCN2 Spoke- VCN1 0.0.0.0/0 → Hub-VCN Spoke- VCN2 0.0.0.0/0 → Hub-VCN VCN Route Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 192.168.0.0/21 192.168.2.156 192.168.8.0/21 192.168.2.156 192.168.16.0/21 192.168.2.156 DRG DRG Route Internet Gateway RouteTable Destination CIDR Route Target 192.168.3.0/24 192.168.2.156 Spoke-VCN 2 192.168.16.0/21 Private Subnet 192.168.16.0/24 VM Destination CIDR Route Target 0.0.0.0/0 DRG Internet VCN間トラフィック監視 (Hub & Spoke) + Load Balancerパブリックアクセス追加 Load Balancer Public Subnet 192.168.3.0/24 Load Balancer 152.70.102.xx 192.168.3.221 Destination CIDR Route Target 0.0.0.0/0 IG Internet Gateway Firewall Public Subnet 192.168.2.0/24 Network Firewall 192.168.2.156 Destination CIDR Route Target 0.0.0.0/0 IG 192.168.0/21 DRG 192.168.16.0/21 DRG バックエンドセットへの アクセスはFWを経由する インターネットからの アクセスはLBのみ
VTAPのミラーパケットを検査するトンネル・インスペクション VXLANのサポートによりVTAPとの連携が可能 VTAPは各サービスの通信トラフィックをミラーリングしてターゲットに 送信するOCIネイティブのパケット・キャプチャ機能 VTAPが可能なリソース - コンピュート・インスタンス、ロードバランサー、データベース・システム等 VTAPのミラーパケットはVXLANによってカプセル化されているため Network Firewallによって非カプセル化しトラフィックを検査
侵入検知(IDS)のセキュリティ・ルールによりサイバー攻撃を検知 - XSS (クロスサイトスクリプティング)、CSRF、SQLインジェクション - DDoS、ブルートフォース、マルウェア、C&C攻撃など 既存のネットワークに影響を与えないアウトオブバンド構成が可能 - VTAPソースとターゲット間にNetwork Firewallを配置 トンネル・インスペクションのログはLoggingに出力 Network Firewall Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 26 VTAP Flexible Load Balancer Compute Database System Exadata VM Cluster VTAP ソース VTAP ターゲット Network Firewall 対象サービスの トラフィックをミラー Load Balancer User packet packet packet VXLAN VXLAN 非カプセル化 及び パケット検査 2024年8月新機能
トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights
reserved. 27 Tokyo Region nwfw-vcn1 172.16.0.0/21 Internet Gateway Internet Webapp Subnet 172.16.1.0/24 Instance LB Subnet 172.16.0.0/24 Instance VTAP LB Subnet 172.16.3.0/24 Load Balancer Flexible Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 追加 ①Network Firewall用の サブネットにFWを作成する ②VTAPのターゲット作成 - LBとバックエンドセットを作成 ③VTAPの作成 - ソースとターゲットを指定する ④LBサブネットのルート表に FWのルートを追加する - VTAPソースからターゲットに流れる トラフィックはFWを経由するようにする ⑤FWのポリシーにトンネル検査 ルールとセキュリティルールの アクションをIDSで追加する VTAP Backend Subnet 172.16.5.0/24 Instance VTAPソース ① ② ③ ④ 2024年8月新機能 ⑤
トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights
reserved. 28 Tokyo Region nwfw-vcn1 Public Subnet Public Subnet Flexible Load Balancer Database Subnet Backend Webapp Subnet Database Instance Instance VTAPソース VTAPソース VTAPソース VTAPソース VTAP LB Subnet 172.16.3.0/24 Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Backend Subnet Instance Internet Gateway ルート表 ルート表 ルート表 ルート表 VTAP 既存ネットワークへの影響という点では、 以下が追加となる 1. Network Firewallの作成 × 1 2. VTAPターゲットの作成 × 1 3. VTAPの作成 × n 4. 各VTAPソースのサブネットのルート表に FWへのルールを追加 × n 2024年8月新機能 Destination CIDR Route Target 172.16.3.0/24 172.16.2.31
Network Firewallの課金体系は、Firewall InstanceとData processingの2種類 インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 29 Copyright ©
2024 Oracle and/or its affiliates. All rights reserved. SKU PAYG(Pay As You Go rate) Oracle Cloud Infrastructure - Network Firewall Instance ¥426/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.6/GB (1ヶ月あたり10TBまで無料)
None
OCI チュートリアル https://oracle-japan.github.io/ocitutorials/intermediates/networkfirewall/ OCI Network Firewallによるトラフィック監視 (Intra-VCNルーティング) https://qiita.com/western24/items/8f17855f1ed4cb59e321 OCI Network
Firewallでサイバー攻撃を防ぐ https://qiita.com/western24/items/fc6174b124d10dc80230 OCI Network Firewallを使用したハブ&スポーク構成 https://qiita.com/western24/items/f1029b1dd0fa15117344 Appendix Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 31