本記事はOracle Cloud Infrastructure Advent Calendar 2022 カレンダー1の Day 1(初日)として書いています。
こんにちは。s-oomoriです!今年もAdvent Calendarの時期がやって来ました!
今回は夏にリリースされたOCI Network FirewallサービスについてOCIjp #33でも発表させていただいてました内容を踏まえて、デプロイ方法を紹介しようと考えてました、、、が!
タイミング良く先月「OCIチュートリアル」が日本語でUPされましたので、そちらを参照ください!!
今回はポイントや補足的なところを紹介します。「当日発表させていただいたスライド」も参考までに御覧ください。
また、検証の際は、「お金に気をつけて」くださいw
導入ポイント
OCI Network Firewallを導入するにあたっての、私が考えるポイントについて
- セキュリティ要件で、WAFや、サーバ側でのアンチウィルスだけではなく、「IPS/IDS」や「URLフィルタリング」等の機能が必要な場合
私が担当する案件はWAFは多く、IPS/IDSは極小です。それでも必要という要件がでてきますので、UTMや製品での対応を検討してました。
- 上記のサービスを仮想アプライアンスや、サーバ側に製品をインストールして対応するのではなく、OCIのマネージド・サービスで利用したい場合
今まではUTMの仮想アプライアンスをOCIにデプロイして対応する or トレンドマイクロ社が提供しているCloud One - Workload Security(C1WS)等の製品を導入して対応を検討してました。導入したとしても、ファームの管理やライセンス管理等は必要でしたが、Network Firewallを導入することによって、そこはマネージドで対応してもらえます。
- コストが見合うだけの環境の場合(小規模にはコスト高になるため、向いていない)
現時点での金額はこちらを参照ください。(2022年12月から価格が変更となります。当ブログ執筆時点では変更されてませんでした。)
1ヶ月起動したままで、月あたり約24万円前後となります(価格改定後は 約28万前後)ので、決して安価ではありません。それなりの規模や、どうしても要件から外せないということがない場合はコストを考えながら構成に組み込んだほうが良いと思います。
- 既存のOCI環境への導入は注意(新規OCI環境への導入は問題無し)
専用サブネットを払い出し(これは必須ではないですが、オススメ)して、対象の通信は全てそこを通過するようにルーティング設定を変更する必要があるため、既に稼働中のOCI環境に途中から追加するのは難易度が高いです。
既存の環境の通信を停止して、切り替えるタイミングを検討する必要がありそうです。(他に良い方法ある方は教えていただけると助かります!)
構築ポイント
実際にNetwork Firewall(NFW)をデプロイしてIPS/IDSを触ってみたときの、構築ポイントについて
- NFW専用のサブネットを作る
Internet Gateway(IGW)との通信は全てNFW経由とするため、チュートリアルでも同じですが専用のサブネットを用意してください。
- IGWに「ルート表の関連付け」が必要
NFWリリース前後で、IGWにルート表を関連付けできるようになっているのに気が付かずに、検証時は見事にハマりました。該当箇所はチュートリアルのこちらになります。
まとめ
今回ご紹介したサービスは、手軽に検証するにはコストがかかりますが、マネージド・サービスのため、運用を考えるととても便利なサービスです。チュートリアルでは、Logging Analyticsとの連携も記載されてますので、PoCでも検討可能だと思います。
OCIとネットワークのそれなりのスキルが無いと、設計時から混乱するかもしれませんが、クラウドですので試しておかしくなったら消してまた最初から作る!のトライ&エラーで試してみてはいかがでしょうか。
最後に、今年「も」ブログでのアウトプットが少なかったので、12月中にもう1記事書きたいと思います。(フラグにならないようがんばります)