OCI で Network Firewallがリリースされたら 自由研究しない わけがない - OCIjp#33 -

2 Copyright © 2022 Atomitech Inc. All rights reserved. ⼤森 信哉 @shinpy 株式会社アトミテック クラウドサービス事業である (クラウディ)を担当 福島県会津若松市 在住（リモート） インフラエンジニア、エバンジェリスト、 営業（マーケティング） 、いろいろ クラウド案件：OCI 7割、AWS 1割、Azure 1割、他1割 好きなOCIサービス：DRG（だいなみっくるーてぃんぐげーとうぇい）

3 Copyright © 2022 Atomitech Inc. All rights reserved. @Cloudii_jp https://cloudii.jp/ ハッシュタグ #Cloudii Cloudii Blog

4 Copyright © 2022 Atomitech Inc. All rights reserved. 今⽇のセッションは... 🤔

5 Copyright © 2022 Atomitech Inc. All rights reserved. 夏休み⾃由研究成果発表 〜 OCI Network Firewall 〜 ※注意 2022/9/6評価で確認できている範囲での想定内容となります。

6 Copyright © 2022 Atomitech Inc. All rights reserved. Network Firewallとは１ u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracle Cloud Infrastructure VCNの侵入検出および防止サービス ※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm 1. IPS/IDSが使える！ 2. URLフィルタリング等の各フィルタリング 3. SSL検査 4. トラフィック検査 UTMをマネージドで使える！！

7 Copyright © 2022 Atomitech Inc. All rights reserved. Network Firewallとは２ u価格 月額：約24万円 （2022/9/6時点）

8 Copyright © 2022 Atomitech Inc. All rights reserved. Network Firewallとは３ u参考資料 （今回検証時に参照したサイト） • 公式ドキュメント https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm • 公式ブログ？ ：OCI Network Firewall - Concepts and Deployment https://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment • Youtube：Oracle Cloud Infrastructure Network Firewall Overview https://www.youtube.com/watch?v=AlwQQQOl5qw

9 Copyright © 2022 Atomitech Inc. All rights reserved. 検証構成 VCN_172.17.0.0/16 ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) ＆ AD1 PrivateSubnet 172.21.10.0/24 PublicSubnet 172.17.1.0/24 インターネット Internet Gateway NAT Gateway 端末 PublicSubnet 172.17.0.0/24 Network Firewall (254) WEB01 (208) WEB02 (144) Bastion (181) PWEB (10) LB DNS u情報 1. NW • VCN：172.17.0.0/16 • PublicSubnet • 172.17.0.0/24 • 172.17.1.0/24 • PlibateSubnet • 172.17.10.0/24 2. DNS • LB =flb.shinpy.info • Bastion＝bastion.shinpy.info • PWEB =pweb.shinpy.info 3. Routeng • PublicSubnetはNetworkFirewallを通過 するように設定 ※実画面で説明

10 Copyright © 2022 Atomitech Inc. All rights reserved. DEMO 環境を実際に⾒てみましょう〜

11 Copyright © 2022 Atomitech Inc. All rights reserved. デモの補⾜ uIGW（インターネット・ゲートウェイ）に「ルート表の関連付け」が必要 uルート表で、プライベートIP指定のルーティング設定が必要（ターゲットをNFWにする） ※ 構成図を書いて設計推奨！！ uIDS（侵入検知）のログは「”action” : “alert”」で検出確認 uIPS（侵入防御）のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認 ※ “reset-both”は送信元と先にRST（リセット）パケットを送信

12 Copyright © 2022 Atomitech Inc. All rights reserved. 感想 uちょっとお高めだが、マネージドなのでそこは楽そう！ • ある程度の規模、IPS/IDS必須等の要件時は良さそう ※ フロントにあるサーバ（VM）全てにIPS/IDSを搭載したソフトを導入するより1台で済む • UTMをマネージドしてくれる（パッチ等が自動のはず） • SR対象範囲？であれば、サポート付きなのでお得？！ u 慣れが必要 • パロアルト製品に慣れている方は吸収しやすい？！（私はFortiGateがいい。。。 • 直感で設定できなかったので、マニュアルやブログを活用して設定する。 ※利用料金が高いので検証もタイトにしたい u その他 • 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。 • WAFとの連携でより強固なセキュリティを提供 • URLフィルター設定が上手くいかない！（宿題）

Copyright © 2022 Atomitech Inc. All rights reserved. 13 We Are Hiring!! [email protected] 宛先：me