Oracle Cloud Infrastructure(OCI)Network Firewallは、機械学習を活用したクラウドネイティブのファイアウォールです。高度な侵入検知および防止機能を備え、Palo Alto Networks® NGFWテクノロジーのサポートによりスケーリングが自動で行われます。
OCI Network Firewallの他のシナリオを見る
この図は、OCI Network Firewallの4つの一般的なユースケースを示しています。
ネイティブのマネージド・ネットワーク・ファイアウォール・サービスを使用
この1つ目のユースケースでは、仮想クラウド・ネットワーク内のネットワーク・ファイアウォールを、仮想マシンやオブジェクト・ストレージなどの他のクラウドネイティブ・サービスとともに示しています。
OCI Network Firewallは、Oracle Cloud Infrastructureに完全に統合されたクラウドネイティブのマネージド・サービスです。
オンプレミス環境とOCI間のトラフィックを保護
2つ目のユースケースでは、仮想クラウド・ネットワークが顧客のオンプレミス環境に論理的に接続されています。仮想クラウド・ネットワークにあるネットワーク・ファイアウォールでは、オンプレミス環境からのネットワーク・トラフィックが論理的に流入した後、仮想クラウド・ネットワーク内のリソース(仮想マシンとして図示)に到達できます。
ネットワーク・ファイアウォールは、オンプレミス環境との間で送受信されるすべてのトラフィックを検査します。これにより、オンプレミス環境でのアクションやトラフィックから、OCI内のリソースを保護します。
OCIとインターネット間のトラフィックを保護
3つ目のユースケースでは、仮想クラウド・ネットワークがインターネットに論理的に接続されています。仮想クラウド・ネットワークにあるネットワーク・ファイアウォールでは、インターネットからのネットワーク・トラフィックが論理的に流入します。
この仮想クラウド・ネットワークはさらに、リソース(ここでは仮想マシンとして図示)のある別の仮想クラウド・ネットワークに論理的に接続しています。
ネットワーク・ファイアウォールは、インターネットとの間で送受信されるすべてのトラフィックを検査します。これにより、インターネットから仮想クラウド・ネットワーク内のリソースの機能にアクセスしようとするアクションやトラフィックから、OCIのリソースを保護します。
仮想クラウド・ネットワーク間のトラフィックを保護
4つ目のユースケースでは、3つの仮想クラウド・ネットワークがあります。1つ目と3つ目の仮想クラウド・ネットワークは、どちらも2つ目の仮想クラウド・ネットワークに論理的に接続されています。1つ目と3つ目の仮想クラウド・ネットワークにはリソース(ここでは仮想マシンとして図示)があります。
1つ目と3つ目の仮想クラウド・ネットワークにあるリソース間で流れるトラフィックはすべて、ネットワーク・ファイアウォールのある2つ目の仮想クラウド・ネットワークを通過する必要があります。
ネットワーク・ファイアウォールは、1つ目と3つ目の仮想クラウド・ネットワーク間を流れるすべてのトラフィックを検査し、一方の仮想クラウド・ネットワークにあるリソースを他方の悪意のあるアクティビティから保護します。
既存のネットワーク・フローを妨げることなく、OCI Network Firewallをお客様の環境に追加できます。
OCI Network Firewallは、従来のプロトコル・フィルタリングや、アプリケーション固有のトラフィック認識(2024年半ば時点)を含む、緻密なセキュリティ・ポリシーを備えており、プロトコルやポートにとどまらずに攻撃対象領域を縮小します。
OCI Network Firewallに搭載されたクラス最高の脅威エンジンは、既知のマルウェア、スパイウェア、コマンド・アンド・コントロール攻撃、および脆弱性攻撃に対して自動的に対応するように設計されています。Palo Alto Networksの高度なテクノロジーが、侵入を検出して防止します。
OCI Network Firewallは、Palo Alto Networksを活用した、OCI VCN向けの次世代のマネージド・ネットワーク・ファイアウォールと侵入検知および防止サービスです。
サブネット内に作成するOCI Network Firewallのインスタンスは、可用性とスケーラビリティに優れています。ファイアウォールは、ファイアウォール・ポリシーで規定されたビジネス・ロジックを適用し、ネットワーク・トラフィックにアタッチします。ファイアウォールとの間のトラフィック転送には、VCN内のルーティングが使用されます。OCI Network Firewallは4 Gb/秒のスループットを提供しますが、最大25 Gbpsまでの増加をリクエストできます。最初の10 TBのデータは追加料金なしで処理されます。
ファイアウォール・ポリシーは、ネットワーク・プロトコル・タイプ、ポート番号を含むTCPまたはUDPプロトコル、オプションのワイルドカードを含む完全修飾ドメイン名、URL、IPアドレス(IPv4とIPv6の両方をサポート)といった、各種属性の組合せに基づいて、トラフィックを識別します。ポリシーにより、トラフィックの受入れ、トラフィックの拒否、侵入の有無の検査、侵入に対する積極的な防御を行うことができます。
OCI Network Firewallは通常、OCIと外部環境(オンプレミス・システム、インターネット、その他のクラウドなど)との間のトラフィックを保護する目的で導入します。また、2つのVCN間など、内部のOCIトラフィックを保護することもできます。
この図に示すリソースと接続の論理レイアウトは、OCI Network Firewallを導入してネットワーク・トラフィックを検査し保護できることを示しています。
単一の仮想クラウド・ネットワークが含まれている、一般的なOCIリージョンを示しています。仮想クラウド・ネットワーク内には3つのサブネットがあります。1つ目のサブネットには、仮想クラウド・ネットワークの外部からアクセスでき、ネットワーク・ファイアウォールが含まれています。ネットワーク・ファイアウォールのIPアドレスは192.168.0.10です。
このサブネットにはリソースもあり、ここでは仮想マシンとして示されています。仮想マシンのIPアドレスは192.168.0.97です。
2つ目のサブネットはプライベートです。これにはフレキシブル・ロード・バランサーが含まれており、ネットワーク・ファイアウォールのあるサブネットと双方向に接続されています。フレキシブル・ロード・バランサーのIPアドレスは192.168.1.15です。
3つ目のサブネットはプライベートで、リソース(ここでは2つの仮想マシンとして図示)が含まれています。仮想マシンのIPアドレスは、192.168.20.1と192.168.20.2です。このサブネットは2つ目のサブネットに双方向に接続されています。
1つ目のサブネットにあるネットワーク・ファイアウォールはインターネット・ゲートウェイと動的ルーティング・ゲートウェイに接続されており、どちらも仮想クラウド・ネットワークで使用できます。
インターネット・ゲートウェイはインターネットに双方向に接続されています。
動的ルーティング・ゲートウェイはオンプレミス環境内の顧客構内機器に双方向に接続されています。
インターネットからのトラフィックは、最初にインターネット・ゲートウェイを通過し、次にネットワーク・ファイアウォールに到達します。トラフィックはネットワーク・ファイアウォールによって検査されます。トラフィックの通過が許可された場合は、同じサブネット内のリソースに渡すことも、2つ目のサブネット内のロード・バランサーに渡すこともできます。その後、トラフィックは3つ目のサブネット内のリソースに転送されます。
一方、オンプレミス環境からのトラフィックは、最初に動的ルーティング・ゲートウェイを通過し、次にネットワーク・ファイアウォールに到達します。トラフィックはネットワーク・ファイアウォールによって検査されます。トラフィックの通過が許可された場合は、同じサブネット内のリソースに渡すことも、2つ目のサブネット内のロード・バランサーに渡すこともできます。その後、トラフィックは3つ目のサブネット内のリソースに転送されます。
十分な計画の下でネットワークを設計することにより、実装の成功に向けて準備を整えることができ、チームや組織にとってネットワークをより使いやすいものにすることができます。導入前にネットワーク設計を計画することで、すべての要件を満たすように設計を行うことができ、導入の成功を妨げる潜在的な障壁を回避できます。
このブログでは、OCI Network Firewallの一般的な機能とその導入方法について説明します。
このハンズオン・チュートリアルでは、複数のバックエンドに導入された複数のWebサイトやアプリケーションに転送されるトラフィックを、OCI Network FirewallとOCI Load Balancerを使用して保護する方法をご紹介します。
このブログでは、RSAパブリック証明書を使用したOCI Network FirewallでのインバウンドSSL復号化について説明します。
Oracle Cloudでアプリケーションを無料で構築、テスト、デプロイしましょう。一度サインアップすると、2つの無料オファーにアクセスできます。
Oracle Cloud Infrastructureの詳細にご関心をお持ちの場合は、当社のエキスパートにお問い合わせください。
* ネットワーク・ファイアウォールのご利用には、従量制課金かUniversal Credits契約のいずれかでご利用いただく有料のOCIアカウントが必要です。