LoginSignup
1
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@shirok(Shiro Kobayashi)in日本オラクル株式会社

[Oracle Cloud] Network Firewall を構成してみてみた

Last updated at Posted at 2024-04-21

Oracle Cloud Infrastructure (OCI) Network Firewall は、Palo Alto Networks®を搭載した次世代の管理対象ネットワーク・ファイアウォールと侵入検出および防止サービスです。ネットワーク・ファイアウォール・サービスでは、クラウド環境に入ってくるトラフィック、およびサブネット間のトラフィックを把握できます。
OverView画像.jpg
Network Firewallには、次のセキュリティ機能が用意されています。

  • ステートフル・ネットワーク・フィルタリング:
    ソースIP、宛先IP、ポートおよびプロトコルに基づいてネットワーク・トラフィックを許可または拒否するステートフル・ネットワーク・フィルタリング・ルールを作成します。
  • カスタムURLおよびFQDNフィルタリング:
    イングレスおよびエグレス・トラフィックを、ワイルドカードおよびカスタムURLを含む指定された完全修飾ドメイン名(FQDN)のリストに制限します。
  • Intrusion Detection and Prevention (IDPS:IDS/IPS):
    悪意のあるアクティビティーがないかネットワークをモニターします。アクティビティの情報を記録、レポートまたはブロックします。
  • SSL検証:
    TLSで暗号化されたトラフィックを復号化し、ESNIサポートによりセキュリティの脆弱性を検証します。Encrypted Server Name Indication (ESNI)は、TLSハンドシェイク内のServer Name Indication (SNI)を暗号化するTLSv1.3拡張です。
  • VCN内サブネット・トラフィック検証:
    Network Firewallを介して2つのVCNサブネット間でトラフィックをルーティングします。
  • VCN間トラフィック検査:
    Network Firewallを介して2つのVCN間のトラフィックをルーティングします。

ということで、Network Firewall環境を駆逐して侵入防止:IPS(Intrusion Prevention System)もしくは侵入防止:IDS(Intrusion Detection System)の設定をしてみてみます。

■ 構成イメージ

今回、Network Firewallの作成を行います。
オンプレミス環境と OCI を FastConnect接続して、オンプレミスと OCIのインスタンス間で通信されるパケットすべてと VCN内インスタンスから Service Gateway, NAT Gateway接続もすべて Network Firewallを経由するように図面のようにルート・ルールを設定しておきます。
構成図.jpg

DRGに付与する ルート・ルールは、VCNアタッチメントの設定にある VCNルート・タイプ種類によって、ルート・ルールの宛先(Distination CIDR)の設定を次のようにする必要があります。
 ・ Subnet CIDR Block の場合: VCNのサブネットCIDR単位で設定
 ・ VCN CIDR Block の場合: VCNのCIDR単位で設定
構成イメージでは、サブネットCIDR単位で設定しています。

■ Network Firewall Policyの作成

● Network Firewall Policyの作成

1) OCI コンソール画面
[アイデンティティとセキュリティ] > [ファイアウォール] > [ネットワーク・ファイアウォール・ポリシー]をクリック
00_OCIコンソール01.jpg

2) ネットワーク・ファイアウォール・ポリシー画面
[ネットワーク・ファイアウォール・ポリシーの作成]をクリック
01_ネットワーク・ファイアウォール・ポリシー01.jpg

3) ネットワーク・ファイアウォール・ポリシーの作成画面
次の項目を入力し、[ネットワーク・ファイアウォール・ポリシーの作成]をクリック

・名前: ポリシーの説明的な名前
・コンパートメント: ポリシーを作成するコンパートメントを選択

01_ネットワーク・ファイアウォール・ポリシー02.jpg

● セキュリティ・ルールの作成

作成したサービス・リストをセキュリティ・ルールに適用

1) セキュリティ・ルール画面
左のPolicy resourcesから[セキュリティ・ルール]をクリックし、[セキュリティ・ルールの作成]をクリック
03_SecurityRules作成01.jpg

2) セキュリティ・ルールの作成画面
ここでは、全ての通信(Any)を侵入防止(Intrusion Prevention)する設定にします。

次の項目を入力し、[セキュリティ・ルールの作成]をクリック

・名前: セキュリティ・ルールの名前を入力
・ルール・アクション: [Intrusion Prevention (侵入防止)]を選択
・ルールの順序: リストが複数ある場合は、[リストの最後のルール]を追加

03_SecurityRules作成05.png

3) セキュリティ・ルールの作成完了
セキュリティ・ルールが作成されたことを確認
03_SecurityRules作成06.jpg

■ Network Firewall インスタンスの作成

● 必要なIAMサービス・ポリシー

管理者向け: グループにネットワーク・ファイアウォール・リソースへのアクセス権を付与するには、次の IAMポリシーを使用します

Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>

29_IAM設定02.jpg

● Network Firewall の作成

**1) ネットワーク・ファイアウォール画面
30_Network Firewallインスタンス作成01.jpg

1) Network Firewall の作成
OCIコンソール画面左上のメニューボタン → アイデンティティとセキュリティ → ファイアウォール → ネットワーク・ファイアウォール →「ネットワーク・ファイアウォールの作成」ボタンをクリック

・名前: ファイアウォールの名前を入力
・ネットワーク・ファイアウォール・ポリシー: 事前に作成したポリシーを選択
・仮想クラウド・ネットワーク: 配置するVCNを選択
・サブネット: 配置するサブネットを選択
・ネットワーク・セキュリティ・グループ(NSG): (オプション) 必要に応じてNSGを設定
・ネットワーク・ファイアウォール・サブネットIPv4アドレス: IPアドレスを設定
・リージョン内の1つの可用性ドメインにデプロイします: チェックしない。ネットワーク・ファイアウォールはリージョン内のすべての可用性ドメインにデプロイされます。チェックすると特定のAD内のみにデプロイされます。

30_Network Firewallインスタンス作成02.jpg

2) Network Firewall の作成中
作成には3時間程度かかります。
30_Network Firewallインスタンス作成03.jpg

2) Network Firewall の作成完了
30_Network Firewallインスタンス作成05.jpg

● Network Firewall のログ設定

ファイアウォールのロギングは、関連付けられたポリシーのルールでサポートされ、Oracle Cloud Infrastructure Loggingをサブスクライブしている場合、有効にすることができます。「ログ」には、指定した時間枠におけるログ・アクティビティおよび記録された各イベントの詳細が表示されます。ログは、トラフィックがルールをトリガーしたタイミングを表示し、セキュリティの向上に役立ちます。一般情報は、ロギング・サービスのドキュメントを参照してください。
ネットワーク・ファイアウォール・サービスは、次の2つのログ・タイプを発行します。

・脅威ログ:受信したファイアウォールの脅威の詳細を提供します。
・トラフィック・ログ:ファイアウォールを通過するトラフィックの詳細を提供します。

[ネットワーク・ファイアーウォール] > [ログ]画面で必要なログを有効化します。
30_Network Firewallインスタンス作成06.png
データプレーンから5分間隔でログが顧客に発行されます。データプレーンは、受信時にログも登録します。
ログの内容および例の詳細は、ネットワーク・ファイアウォール・ログの詳細を参照してください。

■ Network Firewall スループット設定

デフォルトでは、Network Firewallサービスは4Gbpsのスループット・レートを提供します。ただし、25Gbpsへの増加をリクエストできます。増加をリクエストするには、My Oracle Suport へ リクエストします。

■ ルート表作成

① DRG 用ルート表設定

DRGに付与する Rute Rule は、VCNアタッチメントの設定にある VCNルート・タイプ種類によって、ルート・ルールの宛先(Distination CIDR)の設定を次のようにする必要があります。
 ・ Subnet CIDR Blocks の場合: VCN内のサブネットCIDR単位で設定
 ・ VCN CIDR Blocks の場合: VCN CIDR単位で設定

・ DRG の VCN Route Type設定確認

1) DRG画面
DRG 画面の Resources の [VCN attachments]画面から、対象のVCNアタッチメントをクリック
Attachment-VCN01.jpg

2) VCN attachments 画面
[Edit]をクリックし、[VCN Route Type]タブをクリック
デフォルトは Subnet CIDR blocks です。
この設定はDRGが受信する OCI VCN の CIDR単位になり、DRGへ付与するVCNへのルート・ルールはこの単位で記入する必要があります。
またこの単位でOn-PremisesへFastConect通じてBGPでルート送信(アドバタイズ)します。
Attachment-VCN03.jpg

・ DRG へ付与するルート表設定

1) DRG用ルート表作成
02_RT-DRG01.jpg

2) DRG用ルート表
対象のVCN attachments 画面から、[Edit]をクリックし、[VCN route table]タブをクリックし、作成したルート表を設定し、[Save changes]をクリック
03_VCN Route Table設定01.jpg

■ 参考

● Overview
Network Firewall
● OCI Documents
ネットワーク・ファイアウォール
ネットワーク・ファイアウォールの概要
ネットワーク・ファイアウォール必要なIAMサービス・ポリシー
ネットワーク・ファイアウォール・ログの詳細
マップされたシークレットの作成
ネットワーク・ファイアウォールの既知の問題

● Oracleアーキテクチャ・センター
Oracle Cloud Infrastructure Network Firewall Serviceを使用してワークロードを保護

● Oracle Help Center Learn
Oracle Cloud Infrastructure Network FirewallによるWebサイトとアプリケーションの保護

● oracle4engineer (Speaker Deck)
OCI Network Firewall 概要

● OCIチュートリアル
Network Firewallチュートリアル

● Oracle LiveLabs
Network Fierwall Workshops and Sprints

1
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?