VPC ファイアウォールを使用して、VPC ピアリング接続または Express Connect を使用してリンクされている VPC タイプのインスタンス間のトラフィックを保護できます。これにより、ビジネス資産のセキュリティが向上します。このトピックでは、Express Connect の VPC ファイアウォールを設定する方法について説明します。
機能紹介
保護のためのネットワークトポロジー
保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。
サービスへの影響
現在のネットワークトポロジーを変更することなく、VPC ファイアウォールを作成してビジネス資産を保護できます。作成プロセスには約 5 分かかり、サービスには影響しません。オフピーク時に VPC ファイアウォールを有効にすることをお勧めします。
VPC ファイアウォールの有効化または無効化には、ルートの数に応じて約 5〜30 分かかります。このプロセス中、持続的接続では数秒間続く一時的な切断が発生する可能性があります。短時間の接続は影響を受けません。
VPC ファイアウォールを有効にする前に、アプリケーションが自動 TCP 再送をサポートしていることを確認してください。再送メカニズムがないことによる中断を防ぐために、アプリケーションの接続ステータスを注意深くモニターしてください。
制限
制限事項 | 説明 | 提案 |
トラフィックタイプの制限 |
| なし |
ルートの制限 | 32 ビットのサブネットマスクを持つルートは Express Connect では保護されません。ルートに 32 ビットのサブネットマスクがある場合、VPC ファイアウォールを有効にすると、その CIDR ブロックへのネットワークアクセスが中断されます。 | VPC ファイアウォールを有効にする前に、CIDR ブロックのマスク長を 30 以下に変更してください。ご不明な点がある場合は、チケットを送信して、製品技術の専門家にお問い合わせください。 |
VPC ファイアウォールの作成と有効化
前提条件
Cloud Firewall Enterprise Edition、Ultimate Edition、または従量課金が有効化されていること。詳細については、「Cloud Firewall の購入」をご参照ください。
説明Enterprise Edition トランジットルーター用の VPC ファイアウォールをサポートしているのは、Cloud Firewall Enterprise Edition、Ultimate Edition、および従量課金のみです。Pro Edition はサポートされていません。
Cloud Firewall にクラウドリソースへのアクセスに必要な権限が付与されていること。詳細については、「Cloud Firewall への権限付与」をご参照ください。
Express Connect インスタンスを購入し、Express Connect または VPC ピアリング接続を使用して VPC 間のネットワーク接続を確立していること。詳細については、「VPC ピアリング接続を使用して VPC 間のプライベート接続を有効にする」をご参照ください。
ネットワークリソースが VPC ファイアウォールをサポートするリージョンにあることを確認してください。詳細については、「サポートされているリージョン」をご参照ください。
VPC ファイアウォールを作成した後、Cloud Firewall によって管理されている VPC 内の vSwitch またはルートテーブルを変更すると、トラフィックが中断される可能性があります。
VPC ファイアウォールを有効にするプロセスをロールバックまたは一時停止することはできません。例外が発生した場合、システムは自動的にプロセスをロールバックします。
手順
Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
VPC 境界ファイアウォール タブで、[Express Connect] をクリックします。
[Express Connect] タブで、[資産の同期] をクリックします。これにより、アカウントとそのメンバーアカウントの資産情報が同期されます。
このプロセスには 1〜2 分かかります。
VPC ファイアウォールを作成する Express Connect インスタンスを見つけ、[操作] 列の 作成する をクリックします。
Express Connect インスタンスが多数ある場合は、リストの上にあるオプションを使用して、リージョンまたは VPC タイプのインスタンスでフィルターできます。
[VPC ファイアウォールの作成] ダイアログボックスで、パラメーターを設定します。次の表にパラメーターを示します。
設定項目
説明
インスタンス名
VPC ファイアウォールの名前を入力します。この名前はファイアウォールインスタンスを識別します。わかりやすく一意の名前を使用してください。
ピアリングメソッド
ピアリングメソッドを確認します。ピアリングメソッドは、VPC が相互に、またはデータセンターと通信する方法です。これは [Express Connect] に固定されており、手動で設定する必要はありません。
VPC
VPC のリージョンとインスタンスを確認します。保護する [ルートテーブル] を選択し、[宛先 CIDR ブロック] を入力します。
ルートテーブル
VPC を作成すると、システムは自動的にデフォルトのルートテーブルを作成し、システムルートを追加してトラフィックを管理します。VPC は、必要に応じて複数のルートテーブルの作成をサポートします。詳細については、「ルートテーブルの概要」をご参照ください。
Cloud Firewall コンソールで VPC ファイアウォールを作成すると、Cloud Firewall は自動的に VPC ルートテーブル情報を読み取ります。Express Connect は複数のルートテーブルをサポートします。したがって、Express Connect 用の VPC ファイアウォールを作成するときに、保護したい VPC ルートテーブルを表示して選択できます。
宛先 CIDR ブロック
[ルートテーブル] ドロップダウンリストからルートを選択すると、ルートテーブルのデフォルトの宛先 CIDR ブロックが自動的に表示されます。他の CIDR ブロックを保護するには、宛先 CIDR ブロックを手動で変更できます。カンマ (,) で区切って複数の CIDR ブロックを追加できます。
重要VPC ファイアウォールを有効にした後、保護したい新しい CIDR ブロックは手動で追加する必要があります。
ピア VPC
ピア VPC のリージョンとインスタンスを確認します。保護する [ルートテーブル] を選択し、[宛先 CIDR ブロック] を入力します。
重要VPC ファイアウォールを有効にした後、保護したい新しい CIDR ブロックは手動で追加する必要があります。
侵入防止
有効にする侵入防止ポリシーを選択します。オプションは次のとおりです:
IPS 防御モード
モニターモード: モニターモードが有効な場合、悪意のあるトラフィックがモニターされ、アラートが生成されます。
ブロックモード: ブロックモードが有効な場合、悪意のあるトラフィックがブロックされ、侵入が阻止されます。3 つのブロックモードがサポートされています:
ブロックモード - 緩い
ブロックモード - 中程度
ブロックモード - 厳格
IPS 防御機能
基本ポリシー: 基本ポリシーが有効な場合、資産の基本的な保護が提供されます。これには、ブルートフォース攻撃、コマンド実行の脆弱性、感染したホストからコマンド & コントロール (C&C) サーバーへの接続のブロックが含まれます。
仮想パッチ: 仮想パッチが有効な場合、一般的で重要なアプリケーションの脆弱性に対するリアルタイムの保護が提供されます。
VPC ファイアウォールを有効にする
このスイッチを有効にすると、VPC ファイアウォールは作成後に自動的に有効になります。
[送信] をクリックして操作を確定します。
説明VPC ファイアウォールを有効にした後、VPC のルートテーブル情報を追加または削除した場合、Cloud Firewall が新しいルートを学習するのに 15〜30 分かかります。ルート学習プロセスが完了するのを待ってから、ルートテーブルが有効になったかどうかを確認してください。ご不明な点がある場合は、チケットを送信して、製品技術の専門家にお問い合わせください。
VPC ファイアウォールが作成されると、Cloud Firewall は自動的に仮想プライベートクラウド (VPC) に次のリソースを作成します:
カスタムルートエントリ: 備考は
Created by cloud firewall. Do not modify or delete it.です。VPC ファイアウォールを有効にすると、Cloud_Firewall_Security_Group という名前のセキュリティグループが自動的に追加され、このセキュリティグループに対して VPC ファイアウォールへのトラフィックを許可する許可ポリシー ([権限付与ポリシー]) が自動的に設定されます。
重要Cloud_Firewall_Security_Group セキュリティグループまたはその権限付与ポリシーを削除しないでください。削除すると、トラフィックが VPC ファイアウォールに流れなくなります。
バッチ操作を実行したり、VPC ファイアウォールを頻繁に有効または無効にしたりする場合は、サービスへの影響を避けるために、これらの操作をオフピーク時に実行してください。
[Express Connect] タブで、作成した VPC ファイアウォールのスイッチをオンにします。
VPC ファイアウォールが有効になっている場合にのみ、Cloud Firewall はネットワークリソースを保護できます。ファイアウォールの [ファイアウォールステータス] が [有効] に変わると、ファイアウォールは正常に有効になります。
その他の操作
VPC ファイアウォールを無効にする
VPC ファイアウォールを無効にすると、一時的な接続の中断が発生する可能性があります。
VPC ファイアウォールを無効にするには、[Express Connect] タブに移動し、ターゲットの VPC ファイアウォールインスタンスを見つけて、[ファイアウォールスイッチ] をオフにします。
ファイアウォールの [ファイアウォールステータス] が [無効] に変わると、ファイアウォールは正常に無効になります。
VPC ファイアウォールを削除する
VPC ファイアウォールを削除すると、一時的な接続の中断が発生する可能性があります。
VPC ファイアウォールが不要になった場合は、[Express Connect] タブに移動し、ターゲットの VPC ファイアウォールインスタンスを見つけて、[操作] 列の [削除] をクリックします。
VPC ファイアウォールを編集する
VPC ファイアウォールの設定を変更するには、[Express Connect] タブに移動し、ターゲットの VPC ファイアウォールインスタンスを見つけて、[操作] 列の [編集] をクリックします。
IPS 設定の変更
侵入防止システム (IPS) の保護モードや機能を変更したり、特定の宛先またはソース IP アドレスをホワイトリストに追加したり、IPS ルールを変更したりするには、既存の Cloud Firewall インスタンスの [アクション] 列にある IPS の設定 をクリックします。次に、[IPS 設定] ページの [VPC ボーダー] タブで設定を行います。詳細については、「IPS 設定」をご参照ください。
リファレンス
VPC ファイアウォールを有効にした後、VPC ファイアウォールのアクセスコントロールポリシーを設定して、VPC 間のアクセスを制御できます。
VPC ファイアウォールを有効にした後、VPC アクセス機能を使用して VPC 間のトラフィックを表示できます。
VPC ファイアウォールを有効にした後、VPC 保護機能を使用して、Cloud Firewall によってブロックされた VPC 間の異常なアクティビティに関する情報を表示できます。