※ 本記事は、Gopi Gopalakrishnanによる”Announcing Oracle Cloud Infrastructure Network Firewall“を翻訳したものです。
2022年5月25日
クラウドベースのアプリケーションの採用は、企業がワークロードをクラウドに移行するにつれて増加し続けます。このデジタル変革により企業の俊敏性が向上し、事実上、クラウドを新しいデータ・センターに変えました。同時に、ネットワークおよびアプリケーションのセキュリティは引き続きITチームにとって最優先事項であり、デジタル攻撃面とサイバー攻撃の高度化が同時に急激で複雑になりました。現在のパンデミック時代のハイブリッド・ワークプレイスの現状では、利害関係はこれ以上ないほど高く、説得力があります。オンプレミスのデータ・センター環境に適合する従来のアプライアンスベースの次世代ファイアウォール(NGFW)ソリューションは、クラウドファーストの世界には設計されていません。これらのソリューションでは、大規模なプロビジョニング、アプライアンス・ライフサイクル管理およびネットワーク・プラミング(配管)に関連する管理の複雑さを取り上げます。
クラウド・サービス・プロバイダとして、Oracleはセキュリティにおけるパートナになり、シンプルで規範的かつ統合された複数のセキュリティ・レイヤーを通じて新しい脅威から防御できるよう取り組んでいます。今日、Oracle Cloud Infrastructure Network Firewall(OCI Network Firewall)は、新しいクラウドネイティブの次世代マネージド・ファイアウォール・サービスで、ますます複雑化するデジタルの世界における要求に対応することを期待しています。
Oracle Cloud Infrastructure Network Firewallの概要
OCI Network Firewallは、Palo Alto Networksの次世代ファイアウォール・テクノロジ(NGFW)を使用して構築された、クラウドネイティブの管理されたファイアウォール・サービスです。機械学習を活用したファイアウォール機能により、OCIワークロードを保護し、OCIでの使用を容易にします。OCIネイティブのfirewall-as-a-Service製品として、OCI Network Firewallを使用すると、追加のセキュリティ・インフラストラクチャを構成および管理しなくても、ファイアウォール機能を利用できるようになります。OCI Network Firewallインスタンスは、組込みの高可用性により高いスケーラビリティを発揮し、選択した仮想クラウド・ネットワーク(VCN)とサブネットに作成できます。ファイアウォールは、それを通過するトランスポート・レイヤー・セキュリティ(TLS)暗号化トラフィックを含むすべてのリクエストを検査し、ユーザーが構成したファイアウォール・ポリシー・ルールに基づいて、許可、拒否、ドロップ、侵入検出、防止などのアクションを実行します。
ステートフル・ネットワーク・ファイアウォールとして、トラフィック・フローの方向とコンテキストを考慮して、IPv4トラフィックとIPv6トラフィックの両方に対してステートフル・フィルタリング・ルールを適用します。また、カスタムURLや完全修飾ドメイン名(FQDN)ベースのフィルタリングなどのアプリケーション・レイヤーのセキュリティ機能もサポートしているため、トラフィックをユーザー指定のFQDNおよびURLのリストに制限できます。Palo Alto Networksの脅威分析エンジンを搭載した統合侵入検出(IDS)および予防ソリューション(IPS)により、包括的な脅威防止を実現し、既知のマルウェア、スパイウェア、脆弱性攻撃およびコマンドおよび制御(C2)攻撃を検出またはブロックできます。OCI Network Firewallは、ロギング、メトリックなどのOCIプラットフォーム・サービスとネイティブに統合されており、1つのクラウド・プロバイダからの統合ユーザー・エクスペリエンス、単一ベンダーおよび請求のシンプルさを提供します。これにより、統合ワークフローおよび権限モデルを通じて、アプリケーション、ネットワーキングおよびファイアウォール・ポリシーを1か所で構成および管理できます。
柔軟なポリシーときめ細かいセキュリティの強化
OCI Network Firewallの柔軟なポリシー適用により、インバウンド(南北)、アウトバウンドおよび水平(東西)トラフィックに詳細なセキュリティ・ルールをアプリケーションおよびネットワーク・ワークロードに簡単に適用できます。任意のネットワーク・トポロジでセキュリティを適用するために、仮想クラウド・ネットワーク(VCN)ルーティング・ルールを使用してトラフィック・パスに透過的に挿入し、OCIゲートウェイやVCNサブネットなどの他のネットワーク機能で構成できます。
eコマース小売企業の3層アプリケーションのサンプルと、Network Firewallサービスを使用してサイバー攻撃からどのように保護できるかを説明します。この例では、お客様はOracle Cloud InfrastructureでホスティングされているeコマースのWebサイト、ショッピング・カートおよび出荷サービスを持っています。正当なユーザーがeコマース・サイトと対話する場合と同様に、攻撃者は、正当なユーザーになる前に悪意のあるやり取りを実施できます。次のトポロジでは、インターネット・ゲートウェイを介したインバウンド(南北)トラフィックに対するOCIネットワーク・ファイアウォールの適用により、ネットワーク・ペリメータを保護し、ポリシーの構成後に悪意のあるトラフィックおよびマルウェアの伝播をリアルタイムで保護できます。
サブネット間のファイアウォール・ポリシーの適用により、横(東西)のアプリケーション層がデータベース層通信に保護され、様々な信頼ドメイン間で後から移動する脅威がブロックされます。たとえば、ポリシー・ルールを適用して、承認されたデータベース管理者のみがMySQLに対してSQLトランザクションを実行できます。アプリケーションのインバウンドの脅威からの保護には多くの重点が置かれていますが、データの抜け出しを防ぐためにアウトバウンド・トラフィックを監視および制限することも重要です。
前述のトポロジでは、NATゲートウェイを経由するアウトバウンド・トラフィックにファイアウォール・ポリシーが適用されるため、データの抜粋やその他のマルウェア攻撃から保護できます。セキュリティ・ルールを構成して、信頼できるURLまたはFQDNへのアウトバウンド・トラフィックのみを許可できます。たとえば、Webサーバーがアクセスしてイメージ更新を取得したり、信頼できる支払ゲートウェイURLへの接続を許可したりすることも可能です。最後に、Network Firewallのネイティブに統合されたメトリックおよびトラフィックおよび脅威ログにより、受信リクエストによってトリガーされるルールおよび対策を理解できます。ログは、監査およびコンプライアンスのロギング要件を満たすためにも役立ちます。要約すると、柔軟で粒度の細かいOCIネットワーク・ファイアウォール・ポリシーの適用により、アプリケーションのワークロードが保護され、今日の絶えず進化する脅威への階層化された防御が提供されます。
次のステップ
詳細は、「OCI Network Firewall」ページを参照してください。これらの新機能と、Oracle Cloud Infrastructureが提供するエンタープライズ・グレードのすべての機能を体験したいと考えています。すべての新しいOracleセキュリティ・サービスの詳細は、お知らせWebキャストにアクセスしてください。