※ 本記事は、Ajay Chhabriaによる”Introducing Zero Trust Packet Routing (ZPR) with Cross-VCN Support: Unified Security Across OCI Networks“を翻訳したものです。

2026年4月3日

Oracle Cloud Infrastructure(OCI)全体にわたる統合的な意図ベースのネットワーク・セキュリティに向けた大きなステップである、VCN間ポリシー・サポートによるZero Trust Packet Routing(ZPR)を発表できることを嬉しく思います。最新のアプリケーションは、分離とスケーラビリティを向上させるために、複数のVirtual Cloud Networks (VCNs)にまたがっています。しかし、この分散アーキテクチャでは、セキュリティ・サイロ化が発生する可能性があるため、一貫した信頼境界を維持し、単一ノードが危険にさらされたときに横方向の移動を防止することが難しくなります。ZPRクロスVCNポリシーにより、環境に応じて自動的にスケーリングされる単一の判読可能なポリシーを通じて、VCNs全体のワークロードに対して一貫した信頼境界を定義および適用できるようになりました。

East-Westセキュリティの強化

ZPRは、トラフィックがDynamic Routing Gateway (DRG)を通過するか、ローカル・ピアリング・ゲートウェイ(LPG)を通過するかに関係なく、ワークロード間のポリシー強制レイヤーとして機能します。VCN間サポートにより、ZPRポリシーは、同じテナンシおよびリージョン内の接続されたVCN間でシームレスに拡張され、アプリケーションの進化に合わせて一貫したセグメンテーションを維持できるようになりました。
この統一されたアプローチ:

  • 不正なeast-west通信を排除
  • 攻撃チェーンの早い段階で横移動をブロック
  • VCNルールごとの管理の運用負荷を軽減

重要な理由

クラウド・アーキテクチャの拡大に伴い、一貫したネットワーク・セグメンテーションと信頼境界を確保することは、より重要で複雑になります。従来、各VCNには独自のイングレスおよびエグレス・ポリシーのセットが必要で、多くの場合、チームおよび環境間で個別に管理されていました(図1を参照)。これにより、一貫性のない施行、冗長な構成、および運用オーバーヘッドが増加します。

図1: 従来のVCNごとのポリシー・モデル

(各VCNは、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、独自のイングレス/エグレス・ルールを定義します)

たとえば、アプリケーション層のCIDRは、すべてのピアリングされたVCNsで定義されます。アプリケーションVCNがスケーリングされるため、ユーザーはピアリングされたすべてのVCN内のアプリケーションVCN CIDRを更新/追加する必要があります。

図2: ZPRクロスVCNポリシーによる簡略化されたセキュリティ

(単一のルールによって、VCNs全体のOCIリソース間の許可される通信が定義されます)

ZPRにより、VCN間ポリシーを使って、セキュリティの意図を一度定義するだけで、この断片化を解消できます。環境がスケールしても、ZPRはあらゆる場所でのポリシー適用を担います。

allow app:oracle endpoints in network:app VCN to connect to db:adb endpoints in network:backend VCN

この単一のルールにより、app:oracle属性を持つアプリケーション・ワークロードのみがdb:adbというラベルのバックエンド層ワークロードと通信できるようになります。他のすべての接続は、暗黙的な拒否ルールによってブロックされます。追加のNSGまたはセキュリティ・リストのレプリケーションは必要ありません。適切な属性で新しいインスタンスが追加されると、アクセスが自動的に適用され、IPアドレスではなくビジネス・ロジックにセキュリティが整合します。これらのセキュリティ属性を定義して割り当てることも、デプロイメント・ワークフローの一部として簡単に自動化できるため、最小限の労力で適切な属性を一貫して適用できます。

主なメリット

統一的な執行
インテントを1回定義すると、ZPRにより、テナンシおよびリージョン内の接続されているすべてのVCNs間で一貫した強制が保証されます。ポリシーはワークロードを自動的に追跡し、環境のスケールに応じて信頼境界を維持します。

運用のシンプルさ
VCNごとの重複ルールを一元化されたポリシー・モデルに置き換えます。環境間で通信できるもの(およびできないもの)を完全に可視化し、監査、レビューおよびトラブルシューティングを簡素化します。

設計による拡張性
フットプリントの拡大に伴い、新しいVCNs (ステージング、本番、パートナ)、サブネット、IPアドレス・ブロックを瞬時にオンボードできます。既存のZPRポリシーは自動的に拡張されるため、手動によるルール・レプリケーションは必要ありません。

ZPRおよびセキュリティ属性の理解

VCN間設定に進む前に、ZPRのコア概念を簡単に理解しましょう。

ZPRとは?

OCIのZero Trust Packet Routingは、ワークロード間で最小限の権限で接続します。ZPRでは、IPベースのルールのかわりにセキュリティ属性(キー/値タグ)を使用して、ワークロード間の信頼関係を定義します。

セキュリティ属性とは?

セキュリティ属性(tier=frontend、env=prodなど)は、コンピュート・インスタンスやロード・バランサなどのOCIリソースに割り当てるメタデータです。ZPRは、これらの属性を使用して論理的な信頼グループを形成し、それらの間のアクセス・ポリシーを適用します。

VCN間ZPRの開始

VCN間ZPRポリシーの作成はシンプルで直感的です。コンソール・エクスペリエンスでは、VCNs全体でセキュアでインテントベースのポリシーを簡単に作成できるよう支援する組込みのUXコントロールを使用して、あらゆるステップをガイドします。ポリシーを視覚的に定義する場合でも、テンプレートを使用する場合でも、ZPRによって一貫性のある合理化されたワークフローが保証されます。

VCN間ZPRポリシーは、いくつかの簡単なステップで作成できます。

図3:

図4:

次のステップを使用して、VCN間ポリシーを作成できます:

  1. ZPRにナビゲート: Oracle Cloudコンソールの「Identity & Security」セクションで、「Zero Trust Packet Routing」に移動します。
  2. ネームスペースを作成または選択: 既存のセキュリティ属性ネームスペースまたはデフォルトの(oracle-zpr)セキュリティ属性ネームスペースを使用できます。オプションで、「Create Security Attribute Namespace」ボタンをクリックしてセキュリティ属性を追加することで、新しいネームスペースを作成できます。
  1. ポリシーの作成:
    1. 次に、「Create Policies」をクリックして、ZPR Cross VCNポリシーを追加します。次の中から選択します:
    2. Simple Policy Builder – 「単一VCN」または「VCN間」オプションをサポートするようになりました(図3)。
    3. Policy Template builder – すぐに使用できるVCN間テンプレートが含まれています(図4)。
    4. Manual Policy Builder – 直接ルール入力用
  2. Apply security attributes: VCNs全体のリソースに属性を割り当てます。ZPRは、適切なポリシーを自動的に適用します。
  3. Validate connectivity: VCNs全体のリソース間の意図した通信が想定どおりに機能することを確認します。

次のステップ

詳細や例については、ZPRクロスVCNのドキュメントと最新のZPRリリース発表をご覧ください。ZPRの統合セキュリティ機能を直接体験してください。300USドルの無料クレジットでOracle Cloud Infrastructureを試して、ゼロ・トラスト・アーキテクチャの構築を今すぐ開始してください。