OCIjp #33 夏休みの自由研究成果発表会 2022/09/06(火)19:00 〜 20:30 https://fullenergy-oci.connpass.com/event/258981/
OCIでNetwork Firewallがリリースされたら自由研究しないわけがない- OCIjp#33 -
View Slide
2Copyright © 2022 Atomitech Inc. All rights reserved.⼤森 信哉 @shinpy株式会社アトミテッククラウドサービス事業である (クラウディ)を担当福島県会津若松市 在住(リモート)インフラエンジニア、エバンジェリスト、営業(マーケティング) 、いろいろクラウド案件:OCI 7割、AWS 1割、Azure 1割、他1割好きなOCIサービス:DRG(だいなみっくるーてぃんぐげーとうぇい)
3Copyright © 2022 Atomitech Inc. All rights reserved.@Cloudii_jphttps://cloudii.jp/ハッシュタグ #CloudiiCloudii Blog
4Copyright © 2022 Atomitech Inc. All rights reserved.今⽇のセッションは...🤔
5Copyright © 2022 Atomitech Inc. All rights reserved.夏休み⾃由研究成果発表〜 OCI Network Firewall 〜※注意2022/9/6評価で確認できている範囲での想定内容となります。
6Copyright © 2022 Atomitech Inc. All rights reserved.Network Firewallとは1u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracleCloud Infrastructure VCNの侵入検出および防止サービス※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm1. IPS/IDSが使える!2. URLフィルタリング等の各フィルタリング3. SSL検査4. トラフィック検査UTMをマネージドで使える!!
7Copyright © 2022 Atomitech Inc. All rights reserved.Network Firewallとは2u価格 月額:約24万円 (2022/9/6時点)
8Copyright © 2022 Atomitech Inc. All rights reserved.Network Firewallとは3u参考資料 (今回検証時に参照したサイト)• 公式ドキュメントhttps://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm• 公式ブログ? :OCI Network Firewall - Concepts and Deploymenthttps://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment• Youtube:Oracle Cloud Infrastructure Network Firewall Overviewhttps://www.youtube.com/watch?v=AlwQQQOl5qw
9Copyright © 2022 Atomitech Inc. All rights reserved.検証構成VCN_172.17.0.0/16ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) & AD1PrivateSubnet172.21.10.0/24PublicSubnet172.17.1.0/24インターネットInternetGatewayNATGateway端末PublicSubnet172.17.0.0/24Network Firewall(254)WEB01(208)WEB02(144)Bastion(181)PWEB(10)LBDNSu情報1. NW• VCN:172.17.0.0/16• PublicSubnet• 172.17.0.0/24• 172.17.1.0/24• PlibateSubnet• 172.17.10.0/242. DNS• LB =flb.shinpy.info• Bastion=bastion.shinpy.info• PWEB =pweb.shinpy.info3. Routeng• PublicSubnetはNetworkFirewallを通過するように設定※実画面で説明
10Copyright © 2022 Atomitech Inc. All rights reserved.DEMO環境を実際に⾒てみましょう〜
11Copyright © 2022 Atomitech Inc. All rights reserved.デモの補⾜uIGW(インターネット・ゲートウェイ)に「ルート表の関連付け」が必要uルート表で、プライベートIP指定のルーティング設定が必要(ターゲットをNFWにする)※ 構成図を書いて設計推奨!!uIDS(侵入検知)のログは「”action” : “alert”」で検出確認uIPS(侵入防御)のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認※ “reset-both”は送信元と先にRST(リセット)パケットを送信
12Copyright © 2022 Atomitech Inc. All rights reserved.感想uちょっとお高めだが、マネージドなのでそこは楽そう!• ある程度の規模、IPS/IDS必須等の要件時は良さそう※ フロントにあるサーバ(VM)全てにIPS/IDSを搭載したソフトを導入するより1台で済む• UTMをマネージドしてくれる(パッチ等が自動のはず)• SR対象範囲?であれば、サポート付きなのでお得?!u 慣れが必要• パロアルト製品に慣れている方は吸収しやすい?!(私はFortiGateがいい。。。• 直感で設定できなかったので、マニュアルやブログを活用して設定する。※利用料金が高いので検証もタイトにしたいu その他• 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。• WAFとの連携でより強固なセキュリティを提供• URLフィルター設定が上手くいかない!(宿題)
Copyright © 2022 Atomitech Inc. All rights reserved. 13We Are Hiring!![email protected]宛先:me