Cloud Firewall は、クラウド上のサービスを分離して保護するのに役立ちます。これにより、サービスのセキュリティを確保し、コンプライアンス要件を満たすことができます。このトピックでは、Cloud Firewall を使用してサービスを保護する方法について説明します。
選択の概要
クラウド導入後、企業のセキュリティドメインは、ビジネスの種類、ネットワーク規模、サービス管理などの要因により、多くの場合デフォルトの状態のままになります。ビジネスの成長に伴い、これによりネットワークアーキテクチャが乱雑になる可能性があります。たとえば、不要なポートがインターネットに公開されたり、内部サービスに過剰なアクセス権限が付与されたりする可能性があります。サービスが攻撃されると、重大なセキュリティリスクが生じる可能性があります。したがって、企業はクラウド上でセキュリティドメインを計画する必要があります。
ネットワークセキュリティドメインは、異なるゲストが互いに干渉することなく、異なるフロアや異なる部屋に滞在できるホテルのようなものです。IT 環境では、データベースサーバーと顧客向けの Web サーバーではセキュリティレベルが異なります。テスト環境のサーバーも、本番環境のサーバーとはセキュリティレベルが異なります。したがって、ビジネス資産をその機能と通信関係に基づいてセキュリティドメインに分割する必要があります。
セキュリティドメイン分離のための Cloud Firewall
シナリオ 1: インターネットからのインバウンドトラフィックの保護
原則: 柔軟性、弾力的なスケーリング、およびセキュリティを確保します。
設定の推奨事項:
インターネットファイアウォールを設定して、インターネットからのインバウンドトラフィックを管理します。
オプション: 非武装地帯 (DMZ) 用に VPC を設定します。VPC を Elastic IP Address (EIP)、Server Load Balancer (SLB)、および Elastic Compute Service (ECS) インスタンスのパublic IP アドレスとともに使用して、インターネットからのインバウンド接続を提供します。
シナリオ 2: インターネットへのアウトバウンドトラフィックの保護
原則: 柔軟性、弾力的なスケーリング、およびセキュリティを確保します。
設定の推奨事項:
インターネットファイアウォールと NAT ファイアウォールを設定して、インターネットへのアウトバウンドトラフィックとプライベートネットワークからのアウトバウンドトラフィックを管理します。
オプション: DMZ 用に VPC を設定するか、サービスごとに異なる VPC を設定します。VPC を EIP および NAT Gateway とともに使用して、インターネットへのアウトバウンド接続を提供します。
シナリオ 3: クラウド内の東西のトラフィックの保護
原則: 環境を分離し、必要な接続性とセキュリティを確保します。
設定の推奨事項:
Cloud Enterprise Network (CEN) を設定します。Enterprise Edition のトランジットルーターを使用することをお勧めします。VPC をトランジットルーターにアタッチして、クラウド内のネットワークインスタンスを接続します。また、仮想ボーダールータ (VBR) をトランジットルーターにアタッチして、クラウド間の相互接続を実装することもできます。
VPC ファイアウォールを設定して、VPC 間またはクラウド間のサービストラフィックを保護します。これには、レイヤー 4 からレイヤー 7 のアクセスの制御、ラテラルムーブメント攻撃からの保護、およびログ追跡が含まれます。
内部ファイアウォールを設定して、VPC 内でマイクロセグメンテーションを実装します。
シナリオ 4: クラウド資産とオンプレミスデータセンター間のトラフィックの保護
原則: クラウド資産とオンプレミスデータセンター間の通信を有効にし、セキュリティを確保します。
設定の推奨事項:
CEN または Express Connect を設定します。VBR を介してオンプレミスデータセンターを CEN または Express Connect に接続し、VPC 内のビジネスグループとの通信を有効にします。
VPC ファイアウォールを設定して、オンプレミスデータセンターと VPC 内のビジネスグループ間の異常トラフィックをモニターします。また、詳細なレイヤー 4 からレイヤー 7 のアクセス制御ポリシーを実装し、ラテラルムーブメント攻撃から保護し、ログ監査を実行することもできます。
Cloud Firewall を使用したセキュリティドメイン分離のためのネットワーク構造
大規模なグループ
大企業の場合、本番ネットワークのセキュリティドメインは、グループセキュリティドメインと子会社セキュリティドメインに分割されます。グループセキュリティドメインは、さらにインターネット向けの本番ゾーン、内部向けの本番ゾーン、および本番 DMZ に分割されます。内部の本番ネットワークは、ビジネスの種類に基づいて、さらに一般ビジネスセキュリティドメイン、コアビジネスセキュリティドメイン、およびデータベースセキュリティドメインに分割されます。
中小企業
中小企業の場合、セキュリティドメインは、ビジネスの種類、機能モジュール、およびネットワーク通信関係に基づいて、一般ビジネスセキュリティドメイン、コアビジネスセキュリティドメイン、データセキュリティドメイン、および DMA セキュリティドメイン (メールシステムおよびポータル Web サイト用) に分割されます。
エディションの選択: 多次元比較
Cloud Firewall エディションを選択する前に、Cloud Firewall の保護範囲を理解して、ビジネスニーズに合っていることを確認する必要があります。詳細については、「保護範囲」をご参照ください。
Cloud Firewall は、従量課金 (従量課金節約プランを含む) とサブスクリプションの 2 つの課金方法を提供しています。サブスクリプション方式には、Premium Edition、Enterprise Edition、Ultimate Edition の 3 つのエディションがあります。各エディションは、異なる機能、資産クォータ、および帯域幅拡張仕様を提供します。
以下の比較表を使用して、適切なエディションを選択できます。詳細については、「特徴」をご参照ください。