※ 本記事は、Nelson Chenによる”Firewall, FastConnect, and other security enhancements in the new OCI Core Landing Zone“を翻訳したものです。

2025年5月23日

昨年のOracle CloudWorldイベントでは、すべてのOCIフィールド・チームにわたるランディング・ゾーンの実装を統合した、刷新された標準化されたOCI Landing Zonesフレームワークを導入しました。これにより、お客様は、さまざまなユース・ケースや導入オプションにわたって、一貫した一連のモジュールとベストプラクティス・テンプレートを活用し、拡張することができます。貴社のチームが、OCI Core Landing Zoneなどの事前構成済のワンクリック・テンプレートの1つを使用したい場合でも、Operating Entities Landing Zoneを使用したJSON/YAML構成で独自のランディング・ゾーン・テンプレートを構築したい場合でも、これらはすべて、Center for Internet Security OCIベンチマークおよびその他のベスト・プラクティスへの準拠をサポートするために、組込みのチェックを備えたLanding Zonesの共通セット・ベース・モジュールを使用します。

ネットワーキングやアイデンティティからセキュリティ、ガバナンス、ワークロードに至るまで、各モジュールは、標準化されたセキュアで反復可能な方法で、強化された構成でOCIサービスのデプロイメントをユーザーが自動化できるように設計されています。フレームワークのモジュールと、その上に構築されたランディング・ゾーン・テンプレートを継続的に強化します。次に、最近リリースされたエキサイティングな新機能の一部を示します。

OCI Landing Zonesの新機能:

OCI Network Firewallのサポート:

更新されたOCI Landing Zonesフレームワークには、構成可能なオプションの1つとしてOCI Network Firewallのサポートが含まれるようになりました。OCI Core Landing Zoneをデプロイする際に、OCI Network FirewallまたはOCI Marketplace (Palo Alto Networks、Fortinetなど)のサードパーティ・ファイアウォール・ソリューションから選択できるようになりました。OCI Network Firewallは、Palo Alto Networksが提供する次世代のマネージド・ファイアウォールおよび侵入検知および防止サービスです。高可用性およびスケーラブルであるため、ファイアウォールのインスタンスは1つのみ必要であり、ハブVirtual Cloud Network (VCN)にデプロイされます。

更新されたCore Landing Zoneを使用しているお客様には、次のものをデプロイするオプションがあります:

  1. インターネット・ゲートウェイのパブリック・サブネット。Network Firewallを経由して、north-southトラフィックを検査します。
  2. スポークVCN間のeast-westトラフィックを管理するためのNetwork Firewallのプライベート・サブネット。
  3. ジャンプ・ホストをデプロイするためのオプションのプライベート・サブネットで、FastConnectを介したOCI Bastionサービスおよびオンプレミス・アクセスをサポートします。

Bastionサービスのサポート

OCI Bastionサービスは、パブリック・エンドポイントがなく、厳密なアクセス制御要件を持つリソースへの制限された時間制限付きのセキュアなアクセスを提供します。これは無料のサービスです(リージョンごとに5つのbastionに制限)。

更新されたBastionモジュールを使用すると、顧客はハブ・アンド・スポーク・ネットワーク・トポロジにCore Landing Zoneをデプロイでき、ハブVCNのジャンプ・ホスト・サブネットのOracle Linux 8上に構築されたジャンプ・ホストもデプロイできます。OCI Bastionサービスは、ジャンプ・ホストで有効化され、3層のVCN、OCI Kubernetes Engine VCNおよびExadata VCNへのセキュアなアクセスを提供します。これらはすべて、すべてのVCNにトラフィックをルーティングするDynamic Routing Gateway (DRG)を介してピアリングされます。

カスタム・アイデンティティ・ドメイン・オプション

アイデンティティ・モジュールの最新の更新により、Core Landing Zoneをデプロイする顧客は、デフォルトのアイデンティティ・ドメインのかわりに既存のカスタム・アイデンティティ・ドメインを使用するか、新しいアイデンティティ・ドメインを作成するようにテナンシを構成できるようになりました。カスタム・アイデンティティ・ドメイン・オプションを選択すると、そのグループおよび動的グループがデプロイメントに使用されます。これにより、お客様はアイデンティティ・ドメインを使用して、フェデレーテッド・アイデンティティ・プロバイダのサポート、特定の環境(開発/テスト/本番など)の追加ドメインの作成、およびブログ記事「OCIアイデンティティ・ドメインのベスト・プラクティス」で説明されているその他の推奨事項に従うことができます。

リモート接続ネットワークの拡張機能

リモート接続のデプロイのエクスペリエンスを向上させるために、フレームワークのネットワーク・モジュールが拡張され、オンプレミス・データ・センターに接続するためのIPsec VPNおよびFastConnectサービスの構成がサポートされ、ハイブリッド・クラウド・ネットワーク・デプロイメントが簡素化されました。

IPsec VPNのサポート

ネットワーク・モジュールに対するこの新しい拡張機能により、お客様は、オンプレミス接続用のIPsec VPNを作成するためにCore Landing Zoneのハブアンドスポーク・トポロジを構成できます。接続は、Libreswanを顧客構内機器として構成し、3層のVCNおよびDRGを介してピアリングされるExadata VCNで構成されます。DRGは、すべてのVCNにトラフィックをルーティングするように構成されています。

ベース・ネットワーク・モジュールでは、IPsecトンネルを管理するためのすべての属性が公開され、IPsec接続定義に加えて、任意の数のIPsec接続(0、1または複数)を定義できます。

FastConnectサポート

Core Landing Zoneをデプロイする際、お客様は、FastConnect仮想回線を使用してハブアンドスポーク・ネットワークを構成して、オンプレミスのデータ・センターまたはマルチクラウドのプライベート・ネットワークに接続できるようになりました。パートナ・プロバイダ OCIDを使用してFastConnectパートナ接続を設定し、DRGを介してピアを使用してトラフィックをすべてのワークロードVCNにルーティングできます。

The above architecture diagram denotes the Core Landing Zone network compartment and some of the recent features added, including OCI Network Firewall, Bastion, FastConnect and IPsec VPN services.

前述のアーキテクチャ図は、Core Landing Zoneのネットワーク・コンパートメントと、OCI Network Firewall、Bastion、FastConnectおよびIPsec VPNサービスなど、最近追加された機能の一部を示しています。

OCI Landing Zonesでクラウドを今すぐ実行

OCI Landing Zonesは、セキュアなベストプラクティスベースの環境を導入することで、クラウド・ジャーニーをサポートします。これにより、オンボーディングを加速し、クラウド・フットプリントの拡大に応じて拡張を簡素化できます。すべてのOCI Landing Zonesテンプレートおよび基礎となるフレームワーク・モジュールは自由に使用できます。

ソリューションについてさらに学習するには、Core Landing Zoneをデプロイするか、モジュールをカスタマイズして独自のテンプレートを構築します。GitHubにアクセスしてください

今後のウェビナーでは、Core Landing Zoneのアーキテクチャ、新しいフレームワークの機能、ソリューションのライブ・デモについて詳しくご紹介します。