IPベースのフィルタリングでOracle Fusion Cloudのセキュリティを拡張: パート2 (2024/10/04)

IPベースのフィルタリングでOracle Fusion Cloudのセキュリティを拡張: パート2 (2024/10/04)

https://blogs.oracle.com/cloud-infrastructure/post/expand-fusion-cloud-security-ipbased-filtering-2

投稿者: Roland Koenn | Consulting Solution Architect

Miranda Jimenez | Product Marketing Manager


このシリーズのパート1では、Oracle Fusion Cloud環境の保護において、Fusionのネットワーク・アクセス制御リスト(ACL)およびWebアプリケーション・ファイアウォール(WAF)の重要な役割について説明しました。ここでは、より高度なIPベースのフィルタリング方法について説明します。この2つ目の部分では、Fusion向けWAFの機能と、多様なセキュリティ・ニーズに対応するためのより微妙な複雑なセキュリティ構成を提供するロケーションベースのアクセス制御(LBAC)について説明します。



Fusion向けWAF: 高度なセキュリティ・ニーズに対応した拡張IPフィルタリング


ネットワークACLと同様に、Fusion用のWAFおよびSoftware as a Service (SaaS)では、特定のクラスレス・ドメイン間ルーティング(CIDR)ブロックからのトラフィックが許可されます。ただし、WAFは、特定のCIDRブロックからのトラフィックをブロックする機能も提供できます。たとえば、208.128.0.0/10および209.128.0.0/10からのトラフィックをブロックする必要がある場合は、サービス・リクエストに次の文字列を含める必要があります:


Block CIDR <208.128.0.0/10, 11.0.0.1/24>


また、WAF for FusionおよびSaaSは、ISO 3166コードで識別される国に基づいてトラフィックを許可または制限するオプションにより、その機能を拡張します。たとえば、日本からのトラフィックのみを許可するには、サービス・リクエストに次のタグが含まれている必要があります。


Allow Countries <JP>


特定の国からのアクセスをブロックすることもできます。たとえば、オーストラリアとニュージーランドからのトラフィックをブロックするには、サービス・リクエストに次のタグが含まれている必要があります。


Block Countries <AU, NZ>


これらの構成を組み合せて、より具体的なアクセス・ルールを作成できます。たとえば、CIDRブロック208.128.0.0/10および209.128.0.0/10を制限し、同時にUSA、カナダおよびメキシコからのアクセスを許可するには、次の文字列をサービス・リクエストに追加します。


Block CIDR <208.128.0.0/10, 209.128.0.0/10>
Allow Countries <US, CA, MX


WAF for FusionおよびSaaSは、Oracle Fusion Cloudの特定の部分に対する差別化された制限もサポートしています。たとえば、Oracle Cloud Fusion Cloudは、指定された国やCIDRブロックからアクセス可能ですが、Oracle Recruitment Cloudポータルなどの特定の部分に、より多くの国からアクセスできます。


Allow CIDR <208.128.0.0/10, 209.128.0.0/10>
Qualified Target <Oracle Recruitment Cloud Portal> Allow Countries <US, CA, MX>


ブロックされたIPまたは国から環境にアクセスしようとすると、次のような画面が表示されます。「Blocked By WAF GEO IP Filters」にWAF4SaaS..."が表示され、Oracle Supportに連絡するようユーザーに指示されます。この即時通知により、権限のないユーザーがアクセス制限を速やかに通知され、セキュリティ対策が強化されます。



WAF IPフィルタリングは、SaaSロード・バランサ内の強力なツールとして機能し、アプリケーションに到達する前にトラフィックをブロックしてシステム・アクセスを管理します。WAFポリシーベースのIPフィルタを実装するには、ネットワークACLを無効にする必要があります。このメソッドの実装には、サービス・リクエストの作成後5営業日のリード・タイムが必要です。操作を中断することなく、この設定フェーズに対応するように適切に計画します。詳細は、My Oracle SupportのSaaS IPベースのアクセス制御に関するWAFのリクエスト方法に関する記事(ドキュメントID 2969290.1)およびSaaSのWAFに対する技術サービス・リクエストの発行方法(ドキュメントID 2969373.1)を参照してください。


SaaS IPフィルタリングにネットワークACLおよびWAFを使用するためのアーキテクチャ図



ロケーション・ベースのアクセス制御(LBAC): ロールおよびリージョン別アクセスの調整


セキュリティーでIPアドレスとユーザー役割の両方をフィルタリングする必要がある場合は、LBACが最適なツールです。LBACは、ユーザー・ロールをフィルタリング基準に統合し、以前のネットワークACLおよびWAFベースのフィルタリング方法とは別に設定する、唯一のIPベースの制限オプションです。LBACでは、CIDRブロックと個々のIPの両方を含むIPアドレス許可リストを設定できます。許可リスト上の任意のIPからのアクセスは、シームレスな操作に対する機能上の制限に直面しません。


セキュリティを強化できるすべての環境でLBACを実装します。このメソッドを、ネットワークACLまたはFusion用のWAFおよびSaaSと効果的に組み合せることができます。これは、場所権限とユーザー権限の両方に基づいて、アクセスを細かく調整する必要がある環境で特に役立ちます。

セキュリティ・コンソールでセルフ・サービスを使用してこの方法を有効にできます。偶発的なロックアウトを回避するには、環境へのアクセスに現在使用しているホストのIPを含めてください。


Oracle Cloudコンソールの「管理」セクションにあるIPアドレス許可リスト


リストにないIPからシステムにアクセスした場合でも、ログインはできますが、必要な役割が「すべてのIPアドレスから使用可能」とマークされているシステムの一部にのみアクセスするように制限されます。この機能を使用すると、従業員は、あらかじめ定義されたIPがない家庭用コンピュータや携帯電話から特定のタスクを実行できます。たとえば、経費をリモートで発行するなどのタスクを実行できますが、パフォーマンス・レビューなどのより機密性の高いタスクは、会社のネットワーク内の既知のIPに制限されたままにできます。


たとえば、処理待ち就業者として、ロールORA_PER_PENDING_WORKER_ABSTRACTが公開としてマークされている場合、新規採用された従業員は、正式に会社に入社する前に必要な文書を入力できます。このロールにより、会社のIPにアクセスせずにオンボーディング・タスクを完了できます。ロールは、Oracle Cloudコンソールのセキュリティを介してすべてのIPアドレスから使用可能になります。


処理待ち就業者のロールの基本情報を編集


LBACは、ブラウザとAPIの両方からアクセスする場合に適用され、すべてのアクセス・ポイントで一貫性のある包括的なセキュリティ・モデルを確保するのに役立ちます。


詳細は、場所ベースのアクセスの概要および場所ベースのアクセス・コントロール(LBAC)を使用したOracle Fusion Applications REST APIの保護を参照してください。



まとめ


IPベースのフィルタリングに関するこの2部構成のシリーズは、第1部で説明した基本的なネットワークACLを、このパート2で調査したWAFとLBACの高度な機能とリンクすることで成り立ちます。これらの方法によって、Oracle Fusion Cloudのセキュリティが強化され、IPアドレスおよび地理的な場所に基づいてアクセスを制御することで堅牢な保護が提供されます。包括的な防御のために、ネットワークACL、LBAC、WAF、LBACのいずれかを使用することをお薦めします。これにより、クラウド環境が高度な脅威から保護されるようになります。


システムのアクセスが現在のところ重要なIPに制限されていない場合は、これらの高度なオプションの設定に優先順位を付けて、全体的なセキュリティー状態を強化することをお勧めします。


ネットワークACLを徹底的にレビューするためにパート1を再検討し、ブログのすべてのリンクされたリソースをチェックして、クラウド・セキュリティ制御を完全に強化することで、より深く掘り下げます。これらの投稿の概念の詳細は、次のリソースを参照してください。

コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し
続きを読む