仮想プライベートクラウド (VPC) がVPCピアリング接続またはExpress Connect回路を使用して接続されている場合、VPCファイアウォールを使用してVPC間のトラフィックを保護できます。 これにより、資産のセキュリティが向上します。 このトピックでは、Express Connect回路を使用して接続されているVPCにVPCファイアウォールを設定する方法について説明します。
機能の説明
保護図
Cloud Firewallの保護範囲の詳細については、クラウドファイアウォールとは
影響
VPCファイアウォールを直接作成して、現在のネットワークトポロジを変更することなく、ビジネス資産を保護できます。 作成時間は約5分で、ワークロードは影響を受けません。 オフピーク時にVPCファイアウォールを有効にすることを推奨します。
VPCファイアウォールを有効または無効にするには、約5〜30分かかります。 作成期間は、ルートの数によって異なります。 永続的なTCP接続は、数秒間中断され得る。 短命の接続は影響を受けません。
VPCファイアウォールを有効にする前に、アプリケーションがTCP経由で再接続を自動的に開始するように構成されているかどうかを確認し、アプリケーションの接続ステータスに細心の注意を払うことをお勧めします。 これにより、接続の中断を回避できます。
制限事項
項目 | 説明 | 提案 |
VPCクォータ | VPCファイアウォールを有効にする前に、Cloud_Firewall_VPCという名前のVPCが作成され、アカウント内のVPCクォータが十分であることを確認してください。 VPCクォータの詳細については、「VPCクォータ」をご参照ください。 たとえば、リージョンのVPCクォータは10です。 VPCファイアウォールを有効にすると、VPCはVPCファイアウォール用に自動的に作成されるため、最大9台のVPCを作成できます。 | VPCクォータが使い果たされた場合は、VPCクォータを増やす必要があります。 詳細については、「VPCクォータの管理」をご参照ください。 |
トラフィックタイプ | VPCファイアウォールはIPv6アドレスのトラフィックを保護できません。 | なし。 |
ルートクォータ | Express Connectで32ビットのサブネットマスクを使用するルートをアドバタイズすることはできません。 32ビットのサブネットマスクを使用するルートがアドバタイズされ、VPCファイアウォールが有効になっている場合、サブネットマスクのネットワークへの接続が中断されます。 | VPCファイアウォールを有効にする前に、サブネットマスクの長さを30ビット以下に変更することを推奨します。 また、DingTalkグループ33081734に参加して、Cloud Firewallのテクニカルサポートを取得することもできます。 |
VPCファイアウォールの作成と有効化
前提条件
Cloud Firewall Enterprise EditionまたはUltimate Editionを購入しました。 詳細については、「Cloud Firewall の購入」をご参照ください。
Express Connect回路を使用して接続されたVPC用のVPCファイアウォールを作成できるのは、Cloud Firewall Enterprise EditionとUltimate Editionのみです。
Cloud Firewallは、他のクラウドリソースへのアクセスを許可されています。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。
Express Connect回路が購入され、VPCはExpress Connect回路またはVPCピアリング接続を使用して接続されます。 詳細については、「VPCピアリング接続の作成と管理」をご参照ください。
VPCファイアウォール機能は、ネットワークリソースが存在するリージョンでサポートされています。 詳細については、「サポートされているリージョン」をご参照ください。
VPCファイアウォールの作成後にvSwitchとルートテーブルを変更すると、業務が中断される可能性があります。
手順
Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
On theVPC 境界ファイアウォールタブをクリックし、エクスプレスコネクト回路タブをクリックします。
[資産の同期] をクリックして、現在のアカウントとメンバーの資産に関する情報を同期します。
このプロセスは、完了するのに1分から2分を要する。
VPCファイアウォールを作成するExpress Connect回路を見つけて、ファイアウォールの作成で、アクション列を作成します。
多数のExpress Connect回線が存在する場合は、リージョンまたはVPCごとに回線を検索できます。
[VPCファイアウォールの作成] ダイアログボックスで、必要なパラメーターを設定します。 下表にパラメーターを示します。
パラメーター
説明
[インスタンス名]
VPCファイアウォールの名前。 VPCファイアウォールの識別に役立つ一意の名前を入力することを推奨します。
接続タイプ
VPC間またはVPCとデータセンター間の接続のタイプ。 この例では、値はExpress Connectに固定されています。
[VPC]
VPCに関する情報。 VPCのリージョンとIDを確認し、ルートテーブルと宛先CIDRブロックを指定します。
ルートテーブル
VPCを作成すると、システムは自動的にデフォルトルートテーブルを作成し、システムルートエントリをルートテーブルに追加します。 ビジネス要件に基づいて、VPCの複数のルートテーブルを作成できます。 詳細については、「ルートテーブルの概要」をご参照ください。
Cloud firewallコンソールでVPCファイアウォールを作成すると、Cloud Firewallは自動的にVPCルートテーブルを読み取ります。 Express Connectは複数のルートテーブルをサポートしています。 Express Connect回線用のVPCファイアウォールを作成すると、複数のVPCルートテーブルを表示し、使用するルートテーブルを選択できます。
宛先 CIDR ブロック
[ルートテーブル] または [ピアルートテーブル] ドロップダウンリストからルートテーブルを選択すると、ルートテーブルのデフォルトの宛先CIDRブロックが [宛先CIDRブロック] または [ピア宛先CIDRブロック] セクションに表示されます。 他のCIDRブロックを宛先とするトラフィックを保護する場合は、宛先CIDRブロックを変更できます。 複数のCIDRブロックを追加できます。 CIDRブロックはコンマ (,) で区切ります。
ピアVPC
ピアVPCのリージョンと名前。 情報を確認し、ピアルートテーブルおよびピア宛先CIDRブロックパラメーターを設定します。
侵入防止
有効にする侵入防止ポリシー。 有効な値:
IPSモード
監視モード: このモードを有効にすると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックを検出するとアラートを送信します。
トラフィック制御モード: このモードを有効にすると、Cloud Firewallは悪意のあるトラフィックを傍受し、侵入の試みをブロックします。
IPS機能
基本ポリシー: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃に対する保護など、基本的な侵入防止機能を提供します。 基本的なポリシーでは、侵害されたホストからコマンド&コントロール (C&C) サーバーへの接続を管理することもできます。
仮想パッチ: 仮想パッチを使用して、一般的なリスクの高いアプリケーションの脆弱性をリアルタイムで防御できます。
VPCファイアウォールの有効化
VPCファイアウォールを有効にすると、ファイアウォールの作成後にVPCファイアウォールが自動的に有効になります。
[送信] をクリックします。 表示されるメッセージで、[送信] をクリックします。
説明VPCファイアウォールを有効にした後、VPCルートテーブルでルートを追加または削除する場合は、Cloud firewallがルートを学習するまで15分から30分待ちます。 Cloud Firewallがルートを学習したら、ルートテーブルが有効かどうかを確認することを推奨します。 また、DingTalkグループ33081734に参加して、Cloud Firewallのテクニカルサポートを取得することもできます。
VPCファイアウォールを作成すると、Cloud firewallは自動的に次のリソースを作成します。
Cloud_Firewall_VPC
という名前のVPC。重要Cloud_Firewall_VPCにクラウドリソースを追加しないでください。 そうしないと、VPCファイアウォールを削除するときにクラウドリソースを削除できません。 Cloud_Firewall_VPCのネットワークリソースを変更または削除しないでください。
Cloud_Firewall_vSwitch
という名前のVSWITCH。次の注意事項があるカスタムルートエントリ。
クラウドファイアウォールによって作成されました。
変更または削除しないでください。
VPCファイアウォールを有効にすると、ECS (Elastic Compute Service) は自動的にCloud_Firewall_Security_Groupという名前のセキュリティグループを作成し、ActionパラメーターがAllowに設定されているセキュリティグループルールをセキュリティグループに追加します。 このルールは、VPCファイアウォールからECSへのインバウンドトラフィックを許可します。
重要Cloud_Firewall_Security_Groupまたはセキュリティグループルールは削除しないでください。 それ以外の場合、VPCファイアウォールからECSへのインバウンドトラフィックはVPCファイアウォールで保護できません。
VPCファイアウォールでバッチ操作を実行する場合、またはVPCファイアウォールを頻繁に有効または無効にする場合は、業務への影響を防ぐため、オフピーク時に操作を実行することを推奨します。
On theエクスプレスコネクト回路タブで、作成されたVPCファイアウォールを見つけて有効にします。
Cloud Firewallは、VPCファイアウォールを有効にした後にのみネットワークリソースを保護できます。 VPCファイアウォールのファイアウォールステータスの値が有効に変更された場合、VPCファイアウォールは有効になります。
次のステップ
VPCファイアウォールを有効にすると、ファイアウォールのアクセス制御ポリシーを作成してVPC間のトラフィックを制御できます。 詳細については、「VPCファイアウォールのアクセス制御ポリシー」をご参照ください。
VPCファイアウォールを有効にすると、VPCアクセスページでVPC間のトラフィックを表示できます。 詳細は、「VPCアクセス」をご参照ください。
VPCファイアウォールを有効にすると、[侵入防御] ページの [VPCトラフィックのブロック] タブで、VPCで検出された侵入イベントに関する情報を表示できます。 詳細については、「VPCトラフィックブロックイベントの表示」をご参照ください。
その他操作
VPCファイアウォールの無効化
VPCファイアウォールを無効にすると、一時的な接続が発生する可能性があります。
VPCファイアウォールを無効にする場合は、[Express Connect Circuit] タブに移動してVPCファイアウォールを見つけ、[firewall Settings] 列でスイッチをオフにします。
VPCファイアウォールのファイアウォールステータスの値が無効に変更された場合、VPCファイアウォールは無効になります。
VPCファイアウォールの削除
VPCファイアウォールを削除すると、一時的な接続が発生する可能性があります。
VPCファイアウォールが不要になった場合は、Express Connect Circuitタブに移動してVPCファイアウォールを見つけ、[操作] 列の [削除] をクリックします。
VPCファイアウォールの変更
VPCファイアウォールの設定を変更する場合は、Express Connect Circuitタブに移動してVPCファイアウォールを見つけ、[操作] 列の [編集] をクリックします。
次のステップ
VPCファイアウォールを有効にすると、ファイアウォールのアクセス制御ポリシーを作成してVPC間のトラフィックを制御できます。 詳細については、「VPCファイアウォールのアクセス制御ポリシー」をご参照ください。
VPCファイアウォールを有効にすると、VPCアクセスページでVPC間のトラフィックを表示できます。 詳細は、「VPCアクセス」をご参照ください。
VPCファイアウォールを有効にすると、[侵入防御] ページの [VPCトラフィックのブロック] タブで、VPCで検出された侵入イベントに関する情報を表示できます。 詳細については、「VPCトラフィックブロックイベントの表示」をご参照ください。