OCI Network Firewall - プライベート LBaaS トラフィックの保護 (2023/03/30)

OCI Network Firewall - プライベート LBaaS トラフィックの保護 (2023/03/30)

https://blogs.oracle.com/ateam/post/oci-network-firewall-securing-the-private-lbaas-traffic

投稿者: Andrei Stoian | Master Principal Cloud Architect | North America Cloud Engineering


前提条件:

OCI Network Firewall - Concepts and Deployment

OCI Network Firewall - NAT Gateway use case

OCI Network Firewall - Hub and Spoke traffic inspection

OCI Network Firewall - Securing the LBaaS traffic



ルーティングとセキュリティの観点から、NFW とプライベート LBaaS を含むネットワークアーキテクチャのデプロイは非常に興味深いものです。パブリック LBaaS の場合と同様に、使用されるプライベートリソースに関連する違いはありますが、同程度のセキュリティが提供されます。


NFW がネットワークのさまざまな部分との間のトラフィックを検査するために必要なルーティング構成については、次のセクションで説明します。これは、NFW がバンプインとして機能するネットワークアーキテクチャのコアを形成します。 概念の一部は、以前の NFW ブログで既に公開されていますが、ここでは、NFW をプライベート OCI LBaaS と統合しましょう。


以下は、提案されたネットワークトポロジです。非常に単純ですが、適切な場所に配置する必要があるすべての関連するルーティングとセキュリティの詳細を提供します。



アプリ VM1 と VM2 はプライベート LBaaS の背後にあり、10.114.187.184 のオンプレミスホストとコンシューマ VM1 から発信されたトラフィックは、プライベート LBaaS に送信される前に NFW によって分析される必要があります。



ルーティング構成

a) 10.114.187.184 のオンプレミス ホストからプライベート LBaaS へのトラフィック


IPSec または FC VC DRG アタッチメントに接続されたルート テーブルには、次の静的ルートが含まれています。



HUB と呼ばれるネクスト ホップ アタッチメント名は、上記のネットワーク ダイアグラムの共有およびインターネット VCN です。プライベート LBaaS が存在する 192.168.0.0/28 サブネットは、192.168.0.12 のプライベート LBaaS フローティング プライベート IP アドレスへの IP 到達可能性のためにオンプレミス CPE にアドバタイズされます。


プライベート LBaaS に到達する前に、トラフィックが NFW を介してパスを作成していることを確認する必要があるため、HUB 接続 VCN ルート テーブルで次のルートを構成します。



DRG は、サブネット 192.168.0.0/28 のすべてのトラフィックを、基本的に NFW である 192.168.0.20 のプライベート IP に転送します。


注 1 : サブネットレベルでは、すべてのルーティングとセキュリティを適切に配置して、トラフィックとルーティングを適切に許可する必要があります。


トラフィックは NFW によって検査された後、プライベート LBaaS に転送されます。この時点で、構成されている 2 つのバックエンドサーバーのいずれかに送信する必要があります。


注 2 : プライベート LBaaS によって (SNAT の実行後に) 発生したユーザートラフィックは、プライベート LBaaS によってバックエンドサーバーに対して実行されるヘルス チェックと共に、NFW によって検査される必要があります。


プライベート LBaaS サブネット ルート テーブルには、次のルートエントリが含まれます。



ご覧のとおり、ネクスト ホップは NFW であり、赤い四角の宛先へのすべてのトラフィックは NFW によって検査されます。


プライベート NFW サブネット ルート テーブルには、次のルートエントリが含まれています。



トラフィックは NFW によって検査された後、DRG に転送され、DRG は HUB VCN 接続ルートテーブルに基づいて、動的に学習したルートを使用してバックエンドサーバーへの転送を実行します。



バックエンドサーバーが応答すると、DRG はトラフィックを受信し、次のように、バックエンド DRG VCN アタッチメント ルートテーブルで構成された静的なデフォルトルートを使用します。



LBaaS は応答を受信し、NFW -> DRG -> CPE パスを使用してトラフィックをオンプレミス ホストに送り返します。DRG は HUB DRG VCN アタッチメント ルートテーブルで学習した動的ルートを持ちます。




b) 192.168.2.4 のコンシューマ VM からプライベート LBaaS へのトラフィック


コンシューマ DRG VCN アタッチメント ルートテーブルには、NFW がデプロイされている HUB VCN にすべてのトラフィックを送信するための静的に構成されたデフォルトルートが含まれています。



トラフィックは次のパスをたどります: Consumer VM -> DRG -> NFW -> LBaaS -> NFW -> DRG -> Backend Servers -> DRG -> NFW -> LBaaS -> NFW -> DRG -> Consumer VM



NFW セキュリティ構成

NFW ポリシーの 4 つの IP アドレス リスト:





1 つの HTTP アプリケーション:



2 つのセキュリティルール:



2 番目のセキュリティルールは、LBaaS ヘルスチェックとともにユーザートラフィックを許可することに注意してください。


ルーティングとセキュリティの構成全体が整ったので、トラフィックが正しく流れているかどうかを確認し、NFW トラフィック ログを分析します。



トラフィックが期待どおりに機能していることを確認しました。NFW ログを分析して、NFW がトラフィックを傍受したことを確認しましょう。



上記の NFW トラフィック ログは、予想される動作を確認します。


コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む