OCI Zero Trust Packet Routingとは?
Zero Trust Packet Routing (ZTPR) は、OCIが提供するゼロトラストセキュリティモデルに基づいたネットワーク制御機能です。
従来の「ネットワークベースの信頼(例:IP範囲での許可)」から脱却し、ユーザーやワークロード単位での精密な制御を可能にします。
ZTPRは、次の3つの柱で構成されます:
マイクロセグメンテーション: VCNやサブネット内でも、ワークロードごとに通信制御が可能
IDベースのポリシー: IPアドレスではなく、IAM IDに基づく通信許可(例:あるインスタンスが別のDBにアクセス可)
強制エンフォースメント: 全トラフィックは暗号化・検査され、明示的に許可された通信のみが通過(デフォルト拒否)
ZTPRはOCIのAdvanced Network Security機能の一部として提供され、以下が関係します:
VCN Security Rules with Identity Context
IAMタグ・ポリシー
VCN Flow Logs + Inspection(監視)
Service MeshやOCI Firewallとの統合(任意)
VCN Security Rules with Identity Contextとは?
これは、VCN(Virtual Cloud Network)内のセキュリティルールに「ユーザーやインスタンスのID情報(Identity)」を組み込んで制御できる機能です。
従来のように「IPアドレスだけで制御」するのではなく、OCIのIAMのコンテキスト(例:インスタンスのタグ、所属ユーザー、グループなど)を活用して、より細かく・柔軟に通信をコントロールできます。
これはOCIのゼロトラストアーキテクチャの一部です。
🔎 従来のセキュリティリストとの違い
従来の方法(セキュリティリストやNSG) Identity Context付きセキュリティルール
IPアドレスでアクセスを許可/拒否 「誰が」や「何のインスタンスが」通信しているかを判断して許可
静的で管理が煩雑になりがち IAMポリシー・タグベースで管理が簡潔
インスタンスが変わると設定変更が必要 タグやIDで追跡できるため柔軟性が高い
📦 使い方の例
例1️⃣:「タグ付きのインスタンス」だけがDBにアクセス可能
text
コピーする
編集する
送信元: タグ「app=frontend」を持つインスタンス
宛先: Private Subnet上のDBサーバー
ポート: TCP 1521(Oracle DB)
ルール: 許可
→ IPではなく、「タグ」でアクセス権を管理。
例2️⃣:「運用チーム」だけがSSHアクセスできるようにする
text
コピーする
編集する
送信元: IAMユーザーが属するグループ「OpsTeam」
宛先: VCN内のLinuxインスタンス
ポート: TCP 22(SSH)
ルール: 許可
→ IP制限ではなく、「誰がアクセスしているか」で制御。
✅ Identity Context で使える情報(例)
インスタンスのタグ
ユーザーのID
インスタンスの所属コンパートメント
IAMグループやポリシー情報
これらを活用することで、「信頼できるアプリだけ通信を許可」などの精密なセキュリティ制御が可能になります。
🛠 構成には何が必要?
この機能を使うには、以下のような要素が関連します:
VCN Security Rules(セキュリティリストやNSG)
Flow Logs(必要に応じて監査目的で)
IAMタグベースの制御
Security Zones
OCIで「強制的なセキュリティポリシー」を適用できる機能です。
特定のコンパートメント(リソースのグループ)をセキュリティゾーンに指定すると、その中ではセキュリティベストプラクティスに反する操作が禁止されるようになります。
🎯 主な目的
セキュリティ設定ミスの未然防止
ゼロトラスト設計の実現
セキュリティ基準に沿ったコンプライアンス強化
開発チームによる操作でも安全性を自動保証