ハブ・アンド・スポーク・アーキテクチャでFortiGateを使用した東西トラフィック検査 (2025/06/01)

ハブ・アンド・スポーク・アーキテクチャでFortiGateを使用した東西トラフィック検査 (2025/06/01)

https://blogs.oracle.com/ateam/post/eastwest-traffic-inspection-using-fortigate-in-hubandspoke-architecture

投稿者:Firasathuddin Ahmed | Senior Network Architect

アーキテクチャの概要:

ブログ では、FortiGate ファイアウォールを使用して North-South トラフィック (受信および送信) の検査を設定する方法について説明しました。

このブログでは、ハブアンドスポークアーキテクチャにおけるFortiGateを用いたEast-Westトラフィックインスペクションに、同じアーキテクチャを用いて2つのユースケースを取り上げます。まずブログ を参照してアーキテクチャをセットアップし、その後このブログに戻ってEast-Westトラフィックインスペクションを設定してください。

FortiGate の設定:

ステップ1: 以下のスクリーンショットに示すように、静的ルーティングを設定します。各ルートの目的はコメント欄で説明されています。この記事で説明するユースケースでは、赤い枠で囲まれた静的ルートを使用します。

ああ

 

ステップ2: 以下のFortinetポリシーは、2つの信頼ゾーン(Webゾーン( Spoke1)とデータベースゾーン( Spoke2))間の内部(East-West)トラフィックを、すべてのサービスにおいて。受信インターフェースと送信インターフェースの両方でTrustインターフェース(ポート2)を使用し、 NATやセキュリティプロファイルは有効化されていません。フローベースのインスペクションを使用することで、アプリケーション層間のトラフィックを効率的に管理します。このポリシーは、内部ネットワーク内で安全かつ制限のない通信を保証します。

ああ

 

ステップ 3 : 以下のFortinet ポリシーは、両方向で信頼インターフェイス (ポート 2)を使用して、Spoke1からOracle サービス ネットワーク (OSN)へのEast-Westトラフィックを有効にします。

 

ああ

特に East-West ポリシーに重点が置かれているため、内部 VCN 間の East-West トラフィック用のファイアウォール ポリシーを構成しました。これは次のようになります。

ああ

 

使用例のデモ:

ユースケース 1: East-Westトラフィックの検査 (Web からデータベースへ)

この図は、ハブアンドスポークトポロジにおけるWeb/アプリケーション層からデータベース層へのEast-Westトラフィックフローを段階的に示しています。トラフィックはWeb VCNからハブVCNを経由してデータベースVCNに流れ、動的ルーティングゲートウェイを経由して信頼サブネット内のFortiGateファイアウォール(ポート2)を通過します。

ああ

検証: 

下の画像は、信頼インターフェースでキャプチャされたICMPトラフィックを示しています。このトラフィックは、Web層(送信元IP:10.0.0.145)とデータベース層(宛先IP:10.0.1.227)の間を流れています。双方向トラフィックは、Fortinetファイアウォールによるこのトラフィックの検査と併せて、East-West方向の接続が成功していることを示しています。

ああ

 

以下の画像は、Spoke1 VCN の Web 層、VM (10.0.0.145) からデータベース層 (10.0.1.227) への MTR 出力を示しています。

ああ

 

ユースケース 2: East-West トラフィックの検査 (Web アプリケーションから Oracle Services Network へ)

以下の図は、Fortinetファイアウォールを使用したハブアンドスポーク・トポロジにおける、Web/アプリケーション層からOCIオブジェクト・ストレージおよびその他のOracleサービスへのEast-Westトラフィックフローを段階的に示しています。トラフィックはWeb層のVCN(10.0.0.0/24)からDRG経由でハブVCN(192.168.1.0/24)に流れ、FortiGateファイアウォール(ポート2)で検査され、サービス・ゲートウェイを経由してOracleサービスにルーティングされます。

ああ

検証:

Web層(ソースIP:10.0.0.145)とOracle Services Network(OSN)間のトラフィック検査を示すために、 OSNでホストされているnmap-2:7.92-1.el8.x86_64)ol8_appstream)リポジトリから(パッケージのダウンロードを開始します。このアクションはWeb VCN内のLinuxマシンで実行され、分析用の観測可能なトラフィックを生成します。

ああ

 

パッケージのダウンロード中に、WiresharkのTrust Interfaceでパケットキャプチャを収集しました。送信元IPアドレス10.0.0.145(スポークVCNのWeb/アプリケーション層)から宛先IPアドレス147.154.8.147(OSN)へのパケットがハイライト表示されています。SNI (Server Name Indication)フィールドを見ると、トラフィックの宛先がyum.us-ashburn-1.oci.oraclecloud.comであることが分かります。これは、Web層がOCI Object Storageまたは関連するOracleサービスにHTTPS経由で安全なアウトバウンド接続を確立し、トラフィックがFortiGateファイアウォールによって検査されていることを示しています。

ああ

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19)

イメージ
Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19) https://blogs.oracle.com/dataintegration/post/how-to-replicate-to-mirrored-database-in-microsoft-fabric-using-goldengate 投稿者: Shrinidhi Kulkarni | Principal Product Manager Oracle GoldenGate 23aiでは、オープン・ミラーリングを介したMicrosoft Fabricへの統合のパブリック・プレビューがサポートされるようになりました。この強力な組み合わせにより、リアルタイムのデータ統合が可能になり、ハイブリッド環境とマルチクラウド環境のデータをMicrosoft Fabricのミラー化されたデータベースに継続的に同期できるため、データは常にAIと分析に対応できます。 Microsoft Fabric統合のOpen Mirroring は、GoldenGate for Distributed Applications and Analytics 23ai (GG for DAA) (23.6)製品を介して提供されます。 既存の Azure統合の詳細については、 ドキュメント を参照してください。 オープン・ミラーリングは、オープン・デルタ・レイク表形式に基づいて、データISVがMicrosoft Fabricのミラーリングを拡張できるように設計されています。この機能により、Oracle GoldenGate 23aiは、オープン・ミラー化パブリックAPIおよびアプローチに基づいて、Microsoft Fabricのミラー化データベースに変更データを直接書き込むことができます。Microsoft FabricでのOpen Mirroringの詳細については、「 Microsoft FabricでのOpen Mirroringの概要 」を参照してください。 このブログ投稿では、この統合の実装の側面について深く掘り下げ、GoldenGate統合の構成方法を示します。 構成ステップ: リファレンス・アーキテクチャの理解 前提条件 ...
続きを読む

OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30)

イメージ
OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30) https://blogs.oracle.com/cloudsecurity/post/using-oci-services-part-4 投稿者: Christopher Johnson 今回は、OCI Native Servicesを使って完全にサーバーレスでWebサイトをホスティングするシリーズの第4弾です。     パート1 では、OCI WAF + API Gateway + Functionを使用して、OCI Object Store Bucketから静的コンテンツを提供する基本的な方法を紹介しました。     パート2 では、バケットを(公開ではなく)非公開にし、Resource Prinicpalを使用して安全にアクセスする方法を紹介しました。     パート3 では、ハードコードされた設定を削除し、代わりにそれらの設定をアプリケーションに保存する方法を紹介しました。 パート4では、サイトの一部をログインの後ろに置いてみようと思っています。 この記事は、ちょっとした「フクロウの描き方」のようなものになりそうです。でも、コードを見ればきっと理解できるはずです! IDCSでアプリケーションを作成 注:OCI Identity Domains は、OCI の新規顧客に対して IDCS の機能を直ちに提供します。現在 IDCS を使用している顧客については、既存の IDCS ストライプは今後数ヶ月の間に OCI Identity Domains に移行される予定です。詳細については、OCI Identity Domainの ドキュメント を参照してください。この変更は、このブログで説明したセキュリティ・パターンに影響を与えるものではありません。このブログで IDCS に起因するセキュリティ機能は、OCI Identity Domainsでも提供されます。 まず最初に、サイトを表現するために IDCS で実際にアプリケーションを作成する必要があります。 IDCSコンソールを開き、「アプリケーション」に移動し、「作成」をクリックします。Functionアプリケーシ...
続きを読む