OCI Network Firewall 概要

Transcript

1. OCI Network Firewall概要 2025年10月 日本オラクル株式会社 Ver. 3.5

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 2

   Copyright © 2025, Oracle and/or its affiliates

3. OCIネイティブの次世代ファイアウォール Network Firewall 3 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 -

   4Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、 それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 VTAPのミラーパケットを検査するトンネル・インスペクション 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕ Copyright © 2025, Oracle and/or its affiliates

4. ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいて トラフィックを許可または拒否する ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -

   宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル 例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 4 Copyright © 2025, Oracle and/or its affiliates

5. インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限 ファイアウォール・ポリシーのルール要素として使用することができ 条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/

   - www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない 5 URLフィルタリング Copyright © 2025, Oracle and/or its affiliates

6. 不正侵入検知・防止(IDS・IPS) 6 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する

   不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2025, Oracle and/or its affiliates

7. TLSで暗号化されたHTTPS通信をNetwork Firewallが 復号し、本来は暗号化されて可視化できない通信内容に 対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は

   OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施 復号後のトラフィック検査には、侵入検知・防止の脅威分析 エンジンにより、マルウェアや不正なアクテビティを検出・遮断 7 SSLインスペクション Copyright © 2025, Oracle and/or its affiliates

8. SSLフォワード・プロキシの動作 8 Client Network Firewall Server ①クライアント側から サーバーへのSSL接続開始 ②ファイアウォールがクライアントからの SSL接続リクエストを受け取って一時保留

   ③ファイアウォールがサーバーへのSSL接続開始 ④サーバーから証明書をファイアウォールへ送付 ⑤ファイアウォールが証明書をチェックし、自らの証明書を用いて サーバー証明書をサインしてからクライアントへ送付 ⑥クライアントがファイアウォールからの 証明書をチェック ⑦クライアントからファイアウォールへ、ファイアウォールからサーバーへのそれぞれのSSL接続が完了し通信開始 ファイアウォールがサーバーからきたトラフィックを復号してからセキュリティルールにより内容をチェックし、問題ないトラフィックを再暗号化してクライアントに送る Copyright © 2025, Oracle and/or its affiliates

9. SSLインバウンド・インスペクションの動作 9 Client Network Firewall Server ①ファイアウォールにサーバーの証明書と秘密鍵を配置 ②クライアント側からサーバーへの TLS接続開始 ③ファイアウォールがサーバーの証明書とプライベートキーを用いて、トラフィックを復号し

   その中身をチェックする ④ファイアウォールが透過的にSSLトラフィックの復号し、セキュリティルールの内容に沿ってチェックする Copyright © 2025, Oracle and/or its affiliates

10. Network Firewallは、必ず一つのファイアウォールポリシーが必要 ファイアウォールポリシーは、セキュリティ・ルールと復号ルールから構成される セキュリティ・ルールまたは復号ルールが複数ある場合は、適用オーダーに従って順番にルールを判定する ファイアウォール・ポリシーの構成要素 10 Network Firewall セキュリティ・ルール リスト

    ルール・アクション 復号ルール 条件 ルール・アクション ファイアウォール・ポリシー Copyright © 2025, Oracle and/or its affiliates

11. リスト ファイアウォール・ポリシーの構成要素 11 リストは、セキュリティ・ルールで条件として使用される要素 指定する条件が多い場合は、JSONファイルによるバルクインポートが可能 概要 上限 設定例 アプリケーションリスト 拒否または許可するアプリケーション

    対応プロトコル: ICMPまたはICMPv6 ICMPタイプ:0-8, ICMPコード: 0-3 2500 ICMP: ICMPタイプ 8(エコー), ICMPコード 0 サービスリスト 拒否または許可するプロトコル・ポートの組み合わせ 対応プロトコル: TCP, UDP ポート範囲: 0-65535 2000 SSH: TCP/22 HTTPS: TCP/443 範囲指定: TCP/5901-5910 URLリスト 拒否または許可するURL URLのマッチングに(*)ワイルドカード、(^)キャレットが使用可 http//またはhttps://はリストには含めない 指定可能最大数: 1000 1リストあたり1000 ポリシーで許可できる 最大は25000 *.example.com www.docs.example.comや www.example.com.uaはマッチする mail.^.com mail.example.com はマッチするが mail.example.sso.comはマッチしない アドレスリスト 拒否または許可するIPアドレス, CIDRブロック IPv4、IPv6に対応 FQDNは、パブリックなFQDNのみ。※FQDNの指定は、 デフォルト無効になっているためSRでのリクエストが必要 20000 10.0.0.0/16 10.1.0.0/24 2001:DB8::/32 2603:c020:0:6a00::/56 Copyright © 2025, Oracle and/or its affiliates

12. ファイアウォール・ポリシーの構成要素 セキュリティ・ルール セキュリティ・ルールは、リストとルール・アクションを紐づけ、ファイアウォール・ポリシーの核となる要素 ルール・アクションは、リストに該当した場合のファイアウォールの動作を指定する セキュリティ・ルールは、最大10000まで作成することができ、それぞれのルールに適用オーダーを指定する どのルールにも該当しない場合は、トラフィックは拒否される ルールアクションの侵入検知、侵入防止は、ブルートフォースや不正なコード実行などのトラフィックを監視し遮断する 侵入検知・侵入防止の脅威シグネチャは、Palo Alto Networksから最新が提供される

    12 リスト ルール・アクション (※いずれかひとつを選択) セキュリティルール アプリケーションリスト サービスリスト URLリスト IPアドレスリスト トラフィックの許可 トラフィックの削除 侵入検知 侵入防止 トラフィックの拒否 Copyright © 2025, Oracle and/or its affiliates

13. 13 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール1 ソースIP:

    172.16.2.100 宛先IP: 172.16.1.0/24 サービスリスト: 3389,5801/TCP ルール・アクション：トラフィックの許可 ルール2 セキュリティ・ルール ルール1では、接続元IPの制限なくSSHの接 続を許可、ルール2では、特定のIPから リモートデスクトップのポートを許可する設定 ルールにマッチしない場合はデフォルトで拒否 ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入防止 ルール1 Network Firewallを通過するすべてのトラ フィックは侵入防止(IPS)にてチェックされる ※任意はすべてを意味する ソースIP: 172.16.0.0/16 宛先IP: 172.16.0.0/16 サービスリスト: 80,443/TCP URLリスト: customapp.com ルール・アクション：トラフィックの許可 ルール1 ルール1: 社内WEBシステムのアクセスを限定 ルール2: SSHのアクセスを限定 ルール3: 上記ルールに該当しないすべての トラフィックを対象に侵入検知(IDS)でチェック ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入検知 ルール3 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール2 ファイアウォール・ポリシーの構成要素 セキュリティ・ルールの動作例 Copyright © 2025, Oracle and/or its affiliates

14. 復号ルール SSLインスペクションに必要な復号ルールは、条件(IPアドレス)とルール・アクションで構成される 復号ルールは、最大で1000まで作成することができ、それぞれのルールに適用オーダーを指定する 復号に必要な使用なシークレット(秘密鍵と証明書のセット)は、OCI Vaultのシークレットに格納する SSLフォワード・プロキシは、CAの証明書と秘密鍵が必要 SSLフォワード・プロキシに対応するシークレットの指定は１つのみ SSLインバウンド・インスペクションは、対象とするWebサーバーのサーバー証明書と秘密鍵が必要 SSLインバウンド・インスペクションに対応するシークレットは、300まで ファイアウォール・ポリシーの構成要素

    14 条件 ルールアクション 復号ルール ソースIPアドレス 宛先IPアドレス (IPアドレスリストから、もしくはすべてのIPアドレス) SSLフォワード・プロキシを含むトラフィックを復号 SSLインバウンド・インスペクションを含むトラフィックを復号 復号化しない Copyright © 2025, Oracle and/or its affiliates

15. ファイアウォール・ポリシーの構成要素 復号プロファイル 15 タイプ 動作オプション 概要 SSLフォワード プロキシ 期限切れ証明書をブロック サーバの証明書が期限切れの場合はセッションをブロック

    信頼されていない発行者をブロック サーバの証明書が信頼されていない認証局（CA）によって発行されている場合、セッションをブロック ブロック・タイムアウト証明書 証明書のステータス・チェックがタイムアウトした場合にセッションをブロック サポートされていない暗号のブロック SLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック 不明な証明書をブロック 証明書ステータスが「不明」として返された場合、セッションをブロック 証明書拡張の制限 拡張をキー用途と拡張キー用途に制限 代替名の自動インクルード サーバ証明書がない場合、サブジェクト代替名（SAN）を偽装証明書に自動的に追加 リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック SSLインバウンド インスペクション サポートされていないバージョンのセッションをブロック サポートされていないバージョンのSSLプロトコルを持つセッションをブロック サポートされていない暗号のブロック SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック SSLインスペクション実行時にセッション・モードのチェック、サーバーのチェックおよび失敗のチェックを制御する Copyright © 2025, Oracle and/or its affiliates

16. 16 Network Firewallインスタンスのメトリック - 送信パケット数、受信パケット数 - セキュリティ・ルールヒット数、復号ルールヒット数 メトリックを基に、パフォーマンス監視や 検知またはブロックしている該当セキュリティ・ルールなどを把握 メトリックは指定された値に到達した際、管理者への

    アラート通知も可能 Network Firewallのログは、Loggingサービスによって Threatログ、Trafficログとして管理 ログは、 JSONフォーマット, 最大6カ月保存 Service Connector Hubと連携することで、オブジェクト ストレージやLog Analyticsに長期保存することが可能 メトリックおよびログによる監視・分析 Copyright © 2025, Oracle and/or its affiliates

17. Network Firewallログのサービス連携 17 Service Connector Hubから直接Log Analyticsにデータ連携し、詳細なログ分析が可能 Log Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -

    OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Logging Service Connector Hub Log Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Log Analyticsに 直接転送する 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析 Copyright © 2025, Oracle and/or its affiliates

18. 検出された不正トラフィック例 18 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか？ 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLog Analyticsのものです

    Copyright © 2025, Oracle and/or its affiliates

19. IDS・IPSルールで不正なトラフィックを検出・遮断 VCN Firewall Subnet Subnet Instance Network Firewall Internet Subnet

    Instance Database インターネットや専用線との境界にNetwork Firewallを 配置し、VNC内のリソースをサイバー攻撃から保護する 同様にマルウェア感染等よるVNC内部からの外向きの 不正なアクセスを未然に防止する VCN Firewall Subnet Subnet Instance Network Firewall Instance Subnet Database VCN Firewall Subnet Network Firewall VNC内のサブネット間やVCN間の通信の保護を目的と した構成など、Network Firewallの配置位置によって 対象のリソースを限定することもできる VCN内の疑わしいアクティビティの監視や情報漏洩対策 としても有用 19 Copyright © 2025, Oracle and/or its affiliates

20. Network Firewallでインターネットアクセスを監視する基本的な設定例 インバウンドおよびアウトバウンド・トラフィックを保護 20 VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet

    Gateway Secure Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ： インバウンド ： アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる Copyright © 2025, Oracle and/or its affiliates

21. パブリック及びプライベート・サブネット両方に対するトラフィック監視 Tokyo Region nwfw-vcn1 172.16.0.0/21 Public Subnet 172.16.0.0/24 Internet Gateway

    Internet Destination CIDR Route Target 0.0.0.0/0 172.16.2.168 Private Subnet 172.16.1.0/24 Instance Firewall Public Subnet 172.16.2.0/24 Route Table Network Firewall 172.16.2.168 Instance Firewall Private Subnet 172.16.3.0/24 Network Firewall 172.16.3.104 NAT Gateway Destination CIDR Route Target 0.0.0.0/0 Internet Gateway Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.3.104 Route Table Destination CIDR Route Target 0.0.0.0/0 NAT Gateway 顧客接続先IP DRG Route Table DRG Customer Premises Equipment Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 21 FastConnect VPN 基本的には、パブリック、プライベート・サブネット用にそれぞれNetwork Firewallを配置する 以下はあくまで基本的な考え方であり、ユーザーの要件やネットワーク構成によっては様々な配置方式が検討できる 21 Copyright © 2025, Oracle and/or its affiliates

22. Internet Gateway + Load Balancer (Network FirewallがLBの前） 22 Tokyo Region

    nwfw-vcn1 172.16.0.0/21 Firewall Public Subnet 172.16.3.0/24 Internet Gateway Network Firewall 172.16.3.42 Internet Destination CIDR Route Target 0.0.0.0/0 IGW Private Subnet 172.16.1.0/24 Destination CIDR Route Target Instance Public Subnet 172.16.2.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.42 Load Balancer Internet Gateway RouteTable Destination CIDR Route Target 172.16.2.0/24 172.16.3.42 Route Table Route Table Route Table メリット • NFWがパブリック・サブネットのトラフィックを検知する境界防御的な役割 • LBへの攻撃負荷を軽減し、アクセス元を識別しWAFとしての運用もできる デメリット • プライベートIPのアウトバンド・アクセスについては要検討 • LBのSSLに対応するためにSSLインスペクションの設定が必要 Copyright © 2025, Oracle and/or its affiliates

23. Internet Gateway + Load Balancer (Network FirewallがLBの後ろ） 23 Tokyo Region

    nwfw-vcn1 172.16.0.0/21 Public Subnet 172.16.2.0/24 Internet Gateway Internet Destination CIDR Route Target 0.0.0.0/0 IGW 172.16.1.0/24 172.16.3.158 Private Subnet 172.16.1.0/24 Destination CIDR Route Target 172.16.2.0/24 172.16.3.158 Instance Firewall Private Subnet 172.16.3.0/24 Load Balancer Route Table Route Table ※Intra VCNルーティングなので指定なし Route Table Network Firewall 172.16.3.158 Destination CIDR Route Target メリット • 送受信のトラフィックを検査させるNFWを中心のハブ構成が組みやすい • SSLインスペクションの設定は必要ない デメリット • LBがDDoSなどのすべての攻撃トラフィックを受けるため負荷が高くなる • ソースIPがLBとなるため、不正IPアドレスの特定やアクセス制御ができない Copyright © 2025, Oracle and/or its affiliates

24. Internet Gateway + Load Balancer + NAT Gatewayの組み合わせ 24 Tokyo

    Region nwfw-vcn1 172.16.0.0/21 Public Subnet 172.16.2.0/24 Internet Gateway Internet Destination CIDR Route Target 0.0.0.0/0 IGW 172.16.1.0/24 172.16.3.158 Private Subnet 172.16.1.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.158 172.16.2.0/24 172.16.3.158 Instance Firewall Private Subnet 172.16.3.0/24 Load Balancer Route Table Route Table ※Intra VCNルーティングなので172.16.1.0/24 への指定は必要なし Route Table Network Firewall 172.16.3.158 NAT Gateway Internet Destination CIDR Route Target 0.0.0.0/0 NAT GW インバウンドのWEBサーバへのパブリック・アクセスは、Load BalancerからNetwork Firewallを経由してバックエンドセットへ(赤線) プライベート・サブネットからのアウトバンド・アクセスは、NAT Gatewayからインターネットに (青線) NAT GatewayをService Gatewayと置き換えて対象をObject StorageなどのOCIサービスに対象を絞った構成も可能 Destination CIDR Route Target 172.16.1.0/24 172.16.3.158 NAT Route Table LBからは プライベート・アクセス Copyright © 2025, Oracle and/or its affiliates

25. NAT Gateway 25 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet

    172.16.3.0/24 NAT Gateway Network Firewall 172.16.3.202 Internet Private Subnet 172.16.4.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.202 Instance NAT Gateway RouteTable Destination CIDR Route Target 0.0.0.0/0 NATGW Destination CIDR Route Target 172.16.4.0/24 172.16.3.202 Route Table Route Table Copyright © 2025, Oracle and/or its affiliates

26. VCNのサブネット間 (Intra-VCNルーティング) 26 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet

    172.16.3.0/24 Network Firewall 172.16.3.202 Destination CIDR Route Target Private Subnet 172.16.1.0/24 Destination CIDR Route Target 172.16.2.0/24 172.16.3.202 Instance Private Subnet 172.16.2.0/24 Destination CIDR Route Target 172.16.1.0/24 172.16.3.202 Instance Route Table Route Table Route Table ※記述の必要なし Copyright © 2025, Oracle and/or its affiliates

27. オンプレミスとVCN間 27 On-Premises 10.0.0.0/16 Customer Premises Equipment Tokyo Region VCN

    172.16.0.0/21 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.101 Destination CIDR Route Target 10.0.0.0/16 DRG Site-to-Site VPN DRG Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 10.0.0.0/16 172.16.0.101 VCN Route Table Destination CIDR Route Target 172.16.0.0/21 172.16.0.101 Route Table Route Table Copyright © 2025, Oracle and/or its affiliates

28. Hub & Spoke構成によるVCN間 28 Tokyo Region Spoke-VCN 1 172.16.8.0/21 Private

    Subnet 172.16.9.0/24 Instance Destination CIDR Route Target 172.16.16.0/21 DRG Spoke-VCN 2 172.16.16.0/21 Private Subnet 172.16.17.0/24 Instance Destination CIDR Route Target 172.16.8.0/21 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 DRG Attachment Name DRG Route Hub-VCN 172.16.8.0/21 -> Spoke-VCN1 172.16.16.0/21 -> Spoke-VCN2 Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Route Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 DRG Spoke-VCN1,VCN2のトラフィックは Network Firewallを必ず経由する DRG Route Route Table ( アウトバウンド・ルーティング用) VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21 VCN Attachment VCN Attachment VCN Attachment Copyright © 2025, Oracle and/or its affiliates

29. Tokyo Region オンプレミスとHub & Spoke構成の組み合わせ (IPSec-VPN + Hub & Spoke)

    29 Private Subnet 172.16.9.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 172.16.17.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 DRG Route Route Table ( アウトバウンド・ルーティング用) On-Premises 192.168.0.0/21 Customer Premises Equipment Site-to-Site VPN Spoke-VCN 1 172.16.8.0/21 Spoke-VCN 2 172.16.16.0/21 Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke1-VCN 172.16.16.0/21 -> Spoke2-VCN 192.168.0.0/21 -> IPSec Tunnel Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN DRG Destination CIDR Route Target 172.16.8.0/21 Hub-VCN 172.16.16.0/21 Hub-VCN IPSec DRG Table VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21 VCN Attachment VCN Attachment VCN Attachment Copyright © 2025, Oracle and/or its affiliates

30. テナンシーを跨ったVCN間 (Cross Tenancy Peering + Hub & Spoke) 30 Tenancy

    ABC - Tokyo Region VCN 192.168.0.0/21 Tenancy XYZ - Tokyo Region Private Subnet 172.16.8.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 172.16.16.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.229 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.229 Route Table ( アウトバウンド・ルーティング用) Spoke-VCN 1 172.16.8.0/21 Spoke-VCN 2 172.16.16.0/21 DRG Private Subnet 192.168.0.0/24 Instance Destination CIDR Route Target 172.16.0.0/21 DRG 172.16.8.0/21 DRG 172.16.16.0/21 DRG `Route Table Cross Tenancy Peering DRG Route Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke1-VCN 172.16.16.0/21 -> Spoke2-VCN 192.168.0/21 -> Cross Tenancy Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Attachment VCN Attachment VCN Attachment Cross Tenancy Attachment リージョンが同じ場合 VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21 Copyright © 2025, Oracle and/or its affiliates

31. テナンシーを跨ったVCN間 (Remote Peering + Hub & Spoke) 31 Tenancy ABC

    - Tokyo Region VCN 192.168.0.0/21 Tenancy XYZ - Osaka Region Private Subnet 172.16.8.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 172.16.16.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.229 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.229 Route Table ( アウトバウンド・ルーティング用) Spoke-VCN 1 172.16.8.0/21 Spoke-VCN 2 172.16.16.0/21 DRG Private Subnet 192.168.0.0/24 Instance Destination CIDR Route Target 172.16.0.0/21 DRG 172.16.8.0/21 DRG 172.16.16.0/21 DRG `Route Table Remote Peering DRG Route Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke1-VCN 172.16.16.0/21 -> Spoke2-VCN 192.168.0/21 -> Remote Peering Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Attachment VCN Attachment VCN Attachment Remote Peering Attachment リージョンが異なる場合 DRG VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21 Copyright © 2025, Oracle and/or its affiliates

32. Tokyo Region Spoke-VCN 1 172.16.8.0/21 Private Subnet 172.16.9.0/21 Destination CIDR

    Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke-VCN1 Spoke-VCN1 0.0.0.0/0 → Hub-VCN VCN Route Destination CIDR Route Target 172.16.0.0/24 172.16.1.133 DRG DRG Route Internet VCNを跨いだLoad Balancer + Network Firewall (Hub & Spoke) Load Balancer Public Subnet 172.16.0.0/24 Load Balancer Destination CIDR Route Target 172.16.8.0/21 172.16.1.133 0.0.0.0/0 IGW Internet Gateway Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.133 Destination CIDR Route Target 0.0.0.0/0 DRG バックエンドセットへの アクセスはプライベートIPで Network Firewallを経由する インターネットからは パブリックIPでLBにアクセスする 32 Backend Set VM VCN Attachment VCN Attachment VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Copyright © 2025, Oracle and/or its affiliates

33. Tokyo Region Spoke-VCN 1 172.16.8.0/21 Private Subnet 172.16.9.0/21 Destination CIDR

    Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke-VCN1 Spoke-VCN1 0.0.0.0/0 → Hub-VCN VCN Route Destination CIDR Route Target 172.16.0.0/24 172.16.1.133 0.0.0.0/0 172.16.1.133 DRG DRG Route Internet VCNを跨いだLoad Balancer + Network Firewall (Hub & Spoke) + NAT GW Load Balancer Public Subnet 172.16.0.0/24 Load Balancer Destination CIDR Route Target 172.16.8.0/21 172.16.1.133 0.0.0.0/0 IGW Internet Gateway Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.133 Destination CIDR Route Target 0.0.0.0/0 DRG Public CIDR NATGW 33 Backend Set VM VCN Attachment VCN Attachment NAT Gateway インバウンドのWEBサーバへのパブリック・アクセスは、Load BalancerからNetwork Firewallを経由してバックエンドセットへ(黄線) プライベート・サブネットからの特定のIPアドレスに対するアウトバンド・アクセスは、Hub-VCNのNAT Gatewayからインターネットに (青線) Destination CIDR Route Target 172.16.8.0/21 172.16.1.133 NAT Route Table 追加項目 VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Copyright © 2025, Oracle and/or its affiliates

34. VTAPのミラーパケットを検査するトンネル・インスペクション VXLANのサポートによりVTAPとの連携が可能 VTAPは各サービスの通信トラフィックをミラーリングしてターゲットに 送信するOCIネイティブのパケット・キャプチャ機能 VTAPが可能なリソース - コンピュート・インスタンス、ロードバランサー、データベース・システム等 VTAPのミラーパケットはVXLANによってカプセル化されているため Network Firewallによって非カプセル化しトラフィックを検査

    侵入検知(IDS)のセキュリティ・ルールによりサイバー攻撃を検知 - XSS (クロスサイトスクリプティング)、CSRF、SQLインジェクション - DDoS、ブルートフォース、マルウェア、C&C攻撃など 既存のネットワークに影響を与えないアウトオブバンド構成が可能 - VTAPソースとターゲット間にNetwork Firewallを配置 トンネル・インスペクションのログはLoggingに出力 Network Firewall 34 VTAP Flexible Load Balancer Compute Database System Exadata VM Cluster VTAP ソース VTAP ターゲット Network Firewall 対象サービスの トラフィックをミラー Load Balancer User packet packet packet VXLAN VXLAN 非カプセル化 及び パケット検査 Copyright © 2025, Oracle and/or its affiliates

35. トンネル・インスペクションの設定例 35 Tokyo Region nwfw-vcn1 172.16.0.0/21 Internet Gateway Internet Webapp

    Subnet 172.16.1.0/24 Instance LB Subnet 172.16.0.0/24 Instance VTAP LB Subnet 172.16.3.0/24 Load Balancer Flexible Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 追加 ①Network Firewall用の サブネットにFWを作成する ②VTAPのターゲット作成 - LBとバックエンドセットを作成 ③VTAPの作成 - ソースとターゲットを指定する ④LBサブネットのルート表に FWのルートを追加する - VTAPソースからターゲットに流れる トラフィックはFWを経由するようにする ⑤FWのポリシーにトンネル検査 ルールとセキュリティルールの アクションをIDSで追加する VTAP Backend Subnet 172.16.5.0/24 Instance VTAPソース ① ② ③ ④ ⑤ Copyright © 2025, Oracle and/or its affiliates

36. トンネル・インスペクションの設定例 36 Tokyo Region nwfw-vcn1 Public Subnet Public Subnet Flexible

    Load Balancer Database Subnet Backend Webapp Subnet Database Instance Instance VTAPソース VTAPソース VTAPソース VTAPソース VTAP LB Subnet 172.16.3.0/24 Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Backend Subnet Instance Internet Gateway ルート表 ルート表 ルート表 ルート表 VTAP 既存ネットワークへの影響という点では、 以下が追加となる 1. Network Firewallの作成 × 1 2. VTAPターゲットの作成 × 1 3. VTAPの作成 × n 4. 各VTAPソースのサブネットのルート表に FWへのルールを追加 × n Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 Copyright © 2025, Oracle and/or its affiliates

37. SNAT(ソース・ネットワーク・アドレス変換)のサポート 送信側のIPアドレスをNetwork FirewallのIPアドレスに変換する Network Firewallのサブネットから4つのIPアドレスが自動的に割り当てられ いずれかのIPアドレスが使用される NATに使用されるIPアドレスの指定や固定化させることはできない プライベートIPアドレスのみ対応 NATの有無をルールで指定可能 •

    送信元アドレス、送信先アドレス、サービス(TCP/UDP, ポート)の 条件にてNATを実行 • 複数条件や優先順位の指定可能 NATルールによるIPアドレスの隠ぺい 37 Network Firewall Subnet 172.16.2.0/24 Network Firewall 172.16.2.64 NAT IPアドレス 172.16.2.130 172.16.2.176 172.16.2.180 172.16.2.198 Subnet 172.16.0.0/24 Instance 172.16.0.1 Subnet 172.16.1.0/24 Instance 172.16.1.100 送信元IP 172.16.0.1 送信元IP 172.16.2.176 Copyright © 2025, Oracle and/or its affiliates

38. Network Firewallの課金体系は、Firewall InstanceとData processingの２種類 インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 38 SKU PAYG（Pay

    As You Go rate） Oracle Cloud Infrastructure - Network Firewall Instance ¥426/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.6/GB （1ヶ月あたり10TBまで無料） Copyright © 2025, Oracle and/or its affiliates

39. Qiita OCI Network Firewallによるトラフィック監視 (Intra-VCNルーティング) OCI Network Firewallでサイバー攻撃を防ぐ OCI Network

    Firewallを使用したハブ&スポーク構成 OCI Network Firewallでテナンシーを跨ったVCNのトラフィック監視 OCI Network FirewallとLoad Balancerの組み合わせ① OCI Network FirewallとLoad Balancerの組み合わせ② OCI チュートリアル https://oracle-japan.github.io/ocitutorials/security/ Appendix 39 Copyright © 2025, Oracle and/or its affiliates
40. None