OCI Bastion

解決する課題

• プライベートサブネット上のインスタンスや DB へ接続するために、パブリック IP を持つ踏み台インスタンスを常設したくない
• 踏み台を常設すると、OS パッチ・鍵管理・攻撃面といった運用負荷とリスクが恒常的に残る
• 管理アクセスを 必要なときだけ・限られた相手にだけ、しかも時間制限つきで開きたい
• 接続経路を IAM と監査ログで統制し、誰がいつ何へ接続したかを追跡したい

主要概念と用語

• Bastion（要塞）: 特定の VCN・サブネットに紐づくマネージドリソース。ここを起点にセッションを張る。踏み台インスタンスのように OS を持たないため、パッチ管理が不要
• Session（セッション）: 接続の単位。作成時に**最大セッション時間（TTL）**を指定し、期限が来ると自動的に切断・終了する
• Managed SSH session（管理対象 SSH セッション）: Bastion プラグインを有効化した Compute インスタンスへ、踏み台を介さず直接 SSH するセッション
• Port forwarding session（ポート転送 / SSH トンネル）: 対象資源の特定ポートへトンネルを張るセッション。インスタンスに加え、Autonomous Database や OKE の API エンドポイントなど、プラグインを持たない資源にも到達できる
• Bastion plugin（Bastion プラグイン）: Oracle Cloud Agent の一機能。管理対象 SSH セッションを使う対象インスタンスで有効化が必要
• CIDR allowlist（許可 CIDR）: その Bastion へセッション作成を許す送信元 IP レンジ。接続元を絞り込む
• SSH 公開鍵: セッション作成時に登録する利用者の公開鍵。これに対応する秘密鍵を持つ者だけが接続できる

仕様・制限・クォータ

• Bastion は特定の VCN とサブネットに配置し、その経路上で到達できる資源にだけセッションを張れる
• セッションには最大セッション時間（TTL）の上限があり、上限を超える常時接続は想定されていない。長時間の常設用途には向かない
• 各 Bastion には同時アクティブセッション数の上限があり、テナンシ/リージョンごとのサービス制限の枠内で利用する
• 管理対象 SSH セッションは Bastion プラグインを持つ Compute インスタンスが対象。プラグインを持たない資源へはポート転送セッションを使う
• セッション作成時に登録する送信元 CIDRとSSH 公開鍵で、接続元と接続者を二重に制限する
• Bastion を置くサブネットのセキュリティリスト/NSG とルーティングが対象資源へ通っている必要がある

内部の仕組み

Bastion は「常設の踏み台 OS」を持たないマネージドな中継点です。利用者がセッションを作成すると、Oracle 側が一時的な接続経路を用意し、利用者は自分の秘密鍵を使って対象資源へ到達します。セッションは TTL で寿命が決まり、期限が切れると経路ごと閉じられるため、開けっ放しの入口が残りません。

• 管理対象 SSH セッション: 対象インスタンスの Bastion プラグイン（Oracle Cloud Agent）が Bastion と協調し、踏み台を介さずに直接 SSH を成立させる
• ポート転送セッション: 利用者のローカルポートと対象資源のポートの間に SSH トンネルを張る。Web 管理画面・データベース接続・OKE API など、SSH ログインを伴わない通信も中継できる

接続経路はあくまでプライベートサブネット内の正規ルーティングに乗るため、対象資源側にパブリック IP を付与する必要はありません。

設計パターン / ベストプラクティス

• 踏み台インスタンスの置き換え: 常設の踏み台 VM を Bastion に置き換え、パッチ管理と常時開放ポートを排除する
• 短い TTL の徹底: セッション時間は作業に必要な最小限に設定し、長時間の常設接続を避ける
• 送信元 CIDR の絞り込み: 企業 VPN や拠点の出口 IP など、許可 CIDR を必要最小限にする
• IAM で利用者を限定: Bastion とセッションの作成権限を特定グループのみに付与し、誰でも踏み台を開けない状態にする
• プラグイン管理: 管理対象 SSH を使うインスタンスでは Bastion プラグインを有効化し、不要なインスタンスでは無効のままにして攻撃面を広げない
• DB/OKE はポート転送: Autonomous Database や OKE のプライベートエンドポイントへはポート転送セッションで安全に到達する

運用・監視

• OCI Audit に Bastion とセッションの作成・終了が記録される。「誰がいつどの資源へセッションを張ったか」を追跡できる
• セッションは TTL で自動終了するため、切り忘れによる開放放置が起きにくい
• 接続できないときの切り分け順: 対象資源への経路（ルート/セキュリティリスト/NSG） → Bastion プラグインの有効化（管理対象 SSH の場合） → 送信元 CIDR の許可 → SSH 公開鍵の対応 → IAM 権限
• 管理対象 SSH を使うインスタンスでは Oracle Cloud Agent と Bastion プラグインの稼働状態を確認する
• 常時接続が必要な用途は Bastion の想定外。その場合は 専用線（FastConnect）や VPN など別手段を検討する

コスト

セキュリティ

• 常時開放の入口を持たない: セッションは TTL で自動的に閉じ、踏み台 VM のような恒常的な攻撃面を作らない
• 多層の絞り込み: 送信元 CIDR・SSH 公開鍵・IAM 権限を組み合わせて接続者と接続元を制限する
• パブリック IP 不要: 対象資源はプライベートのまま到達でき、インターネットへの暴露を避けられる
• 監査の徹底: すべてのセッション操作を OCI Audit で追跡可能にし、アクセスの説明責任を担保する
• 最小権限: Bastion/セッション作成の IAM 権限を絞り、許可 CIDR も最小化する

Well-Architected の観点

• セキュリティ: 常時開放の踏み台を排し、時間制限つき・最小公開のアクセスへ移行できる。送信元 CIDR・SSH 鍵・IAM の多層防御で接続を統制し、すべてを監査可能にする
• 運用上の優秀性: 踏み台 VM の OS パッチ・鍵ローテーション・死活監視といった運用作業をマネージドサービスに肩代わりさせ、運用負荷と人的ミスを減らせる

試験で問われるポイント

関連サービス・比較

ハンズオン / CLI例

# 1. Bastion を作成（プライベートサブネットに配置し、許可 CIDR で接続元を限定）
oci bastion bastion create \
  --bastion-type standard \
  --compartment-id ocid1.compartment.oc1..xxxx \
  --target-subnet-id ocid1.subnet.oc1..xxxx \
  --name ops-bastion \
  --client-cidr-list '["203.0.113.0/24"]'

# 2. 管理対象 SSH セッション（Bastion プラグイン入りインスタンスへ直接 SSH）
#    ttl-in-seconds で最大セッション時間を最小限に設定する
oci bastion session create-managed-ssh \
  --bastion-id ocid1.bastion.oc1..xxxx \
  --target-resource-id ocid1.instance.oc1..xxxx \
  --target-os-username opc \
  --ssh-public-key-file ~/.ssh/id_rsa.pub \
  --session-ttl 1800 \
  --display-name ssh-to-app

# 3. ポート転送セッション（Autonomous DB 等の特定ポートへトンネル）
oci bastion session create-port-forwarding \
  --bastion-id ocid1.bastion.oc1..xxxx \
  --target-private-ip 10.0.1.20 \
  --target-port 1522 \
  --ssh-public-key-file ~/.ssh/id_rsa.pub \
  --session-ttl 1800 \
  --display-name tunnel-to-db

# 4. セッション一覧を確認（接続コマンドはセッション詳細から取得できる）
oci bastion session list \
  --bastion-id ocid1.bastion.oc1..xxxx