Slide 1

Slide 1 text

OCI で Network Firewallがリリースされたら 自由研究しない わけがない - OCIjp#33 -

Slide 2

Slide 2 text

2 Copyright © 2022 Atomitech Inc. All rights reserved. ⼤森 信哉 @shinpy 株式会社アトミテック クラウドサービス事業である (クラウディ)を担当 福島県会津若松市 在住(リモート) インフラエンジニア、エバンジェリスト、 営業(マーケティング) 、いろいろ クラウド案件:OCI 7割、AWS 1割、Azure 1割、他1割 好きなOCIサービス:DRG(だいなみっくるーてぃんぐげーとうぇい)

Slide 3

Slide 3 text

3 Copyright © 2022 Atomitech Inc. All rights reserved. @Cloudii_jp https://cloudii.jp/ ハッシュタグ #Cloudii Cloudii Blog

Slide 4

Slide 4 text

4 Copyright © 2022 Atomitech Inc. All rights reserved. 今⽇のセッションは... 🤔

Slide 5

Slide 5 text

5 Copyright © 2022 Atomitech Inc. All rights reserved. 夏休み⾃由研究成果発表 〜 OCI Network Firewall 〜 ※注意 2022/9/6評価で確認できている範囲での想定内容となります。

Slide 6

Slide 6 text

6 Copyright © 2022 Atomitech Inc. All rights reserved. Network Firewallとは1 u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracle Cloud Infrastructure VCNの侵入検出および防止サービス ※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm 1. IPS/IDSが使える! 2. URLフィルタリング等の各フィルタリング 3. SSL検査 4. トラフィック検査 UTMをマネージドで使える!!

Slide 7

Slide 7 text

7 Copyright © 2022 Atomitech Inc. All rights reserved. Network Firewallとは2 u価格 月額:約24万円 (2022/9/6時点)

Slide 8

Slide 8 text

8 Copyright © 2022 Atomitech Inc. All rights reserved. Network Firewallとは3 u参考資料 (今回検証時に参照したサイト) • 公式ドキュメント https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm • 公式ブログ? :OCI Network Firewall - Concepts and Deployment https://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment • Youtube:Oracle Cloud Infrastructure Network Firewall Overview https://www.youtube.com/watch?v=AlwQQQOl5qw

Slide 9

Slide 9 text

9 Copyright © 2022 Atomitech Inc. All rights reserved. 検証構成 VCN_172.17.0.0/16 ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) & AD1 PrivateSubnet 172.21.10.0/24 PublicSubnet 172.17.1.0/24 インターネット Internet Gateway NAT Gateway 端末 PublicSubnet 172.17.0.0/24 Network Firewall (254) WEB01 (208) WEB02 (144) Bastion (181) PWEB (10) LB DNS u情報 1. NW • VCN:172.17.0.0/16 • PublicSubnet • 172.17.0.0/24 • 172.17.1.0/24 • PlibateSubnet • 172.17.10.0/24 2. DNS • LB =flb.shinpy.info • Bastion=bastion.shinpy.info • PWEB =pweb.shinpy.info 3. Routeng • PublicSubnetはNetworkFirewallを通過 するように設定 ※実画面で説明

Slide 10

Slide 10 text

10 Copyright © 2022 Atomitech Inc. All rights reserved. DEMO 環境を実際に⾒てみましょう〜

Slide 11

Slide 11 text

11 Copyright © 2022 Atomitech Inc. All rights reserved. デモの補⾜ uIGW(インターネット・ゲートウェイ)に「ルート表の関連付け」が必要 uルート表で、プライベートIP指定のルーティング設定が必要(ターゲットをNFWにする) ※ 構成図を書いて設計推奨!! uIDS(侵入検知)のログは「”action” : “alert”」で検出確認 uIPS(侵入防御)のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認 ※ “reset-both”は送信元と先にRST(リセット)パケットを送信

Slide 12

Slide 12 text

12 Copyright © 2022 Atomitech Inc. All rights reserved. 感想 uちょっとお高めだが、マネージドなのでそこは楽そう! • ある程度の規模、IPS/IDS必須等の要件時は良さそう ※ フロントにあるサーバ(VM)全てにIPS/IDSを搭載したソフトを導入するより1台で済む • UTMをマネージドしてくれる(パッチ等が自動のはず) • SR対象範囲?であれば、サポート付きなのでお得?! u 慣れが必要 • パロアルト製品に慣れている方は吸収しやすい?!(私はFortiGateがいい。。。 • 直感で設定できなかったので、マニュアルやブログを活用して設定する。 ※利用料金が高いので検証もタイトにしたい u その他 • 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。 • WAFとの連携でより強固なセキュリティを提供 • URLフィルター設定が上手くいかない!(宿題)

Slide 13

Slide 13 text

Copyright © 2022 Atomitech Inc. All rights reserved. 13 We Are Hiring!! [email protected] 宛先:me