NAT Gatewayを使用してインターネットにアクセスするアウトバウンドプライベートネットワークトラフィックを制御する -

仮想プライベートクラウド (VPC) 内のElastic Compute Service (ECS) インスタンスやelastic containerインスタンスなどのリソースがNATゲートウェイを使用してインターネットに直接アクセスすると、不正アクセス、データ漏洩、トラフィック攻撃などのセキュリティリスクが発生する可能性があります。これらのリスクを軽減するために、NATファイアウォールを有効にして不正トラフィックをブロックできます。このトピックでは、NATファイアウォールを設定する方法について説明します。

次のビデオチュートリアルでは、NATゲートウェイのNATファイアウォールを有効にする方法について説明します。

機能の説明

実装

NATファイアウォールを有効にして、数回クリックするだけでアセット情報を同期し、NATファイアウォールのアクセス制御ポリシーを設定し、トラフィック分析結果を表示し、監査ログを表示できます。

NATファイアウォールまたはNATゲートウェイを有効にすると、NATファイアウォールは、VPC内の内部対応リソースからNATゲートウェイへのすべてのアウトバウンドトラフィック (同じVPC内のリソースおよびVPC間のリソースを含む) を監視します。 NATファイアウォールは、トラフィックに関する情報をユーザー定義のアクセス制御ポリシーおよび組み込みの脅威インテリジェンスライブラリと照合して、トラフィックを許可するかどうかを判断します。情報には、ソースアドレス、宛先アドレス、ポート、プロトコル、アプリケーション、およびドメイン名が含まれます。このようにして、インターネットへの不正アクセスがブロックされます。

次の図に例を示します。

影響

NATファイアウォールを有効または無効にすると、Cloud firewallはNATエントリを切り替えます。その結果、永続的な接続は1秒から2秒間一時的に閉じられますが、短命の接続は影響を受けません。ピーク時間外にNATファイアウォールを有効または無効にすることを推奨します。

NATファイアウォールを作成する場合、ワークロードは影響を受けません。ただし、NATファイアウォールの作成時にステータスをオンにすると、永続的な接続は1秒から2秒間一時的に閉じられますが、短期間の接続は影響を受けません。
説明
NATファイアウォールの作成に必要な期間は、NATゲートウェイに関連付けられているelastic IPアドレス (EIP) の数によって異なります。必要な時間は、追加のEIPごとに約2分から5分増加する。その間、ワークロードは影響を受けません。
NATファイアウォールを無効にした後に削除しても、ワークロードは影響を受けません。

制限事項

NATファイアウォールを有効にした後、NATファイアウォールのvSwitchのルート、またはnext hopがNATファイアウォールであるルートは変更しないことを推奨します。そうでなければ、サービスの中断が起こり得る。
クラウドファイアウォールの有効期限が切れ、クラウドファイアウォールを更新しない場合、作成したNATファイアウォールは自動的にリリースされ、トラフィックは元のルートに戻ります。サービスの中断は、切り替え中に発生する可能性があります。
Cloud Firewallが期待どおりに実行されるように、できるだけ早い機会に自動更新またはCloud Firewallの更新を有効にすることを推奨します。詳細については、「更新」をご参照ください。
NATファイアウォールが9月1日2023より前に作成された場合、同じ宛先IPアドレスと宛先ポートを持つ接続のNATファイアウォールの最大保護帯域幅は20 Mbit/sです。同じ宛先IPアドレスと宛先ポートを持つ接続の帯域幅が20 Mbit/sを超えると、ネットワークジッタが発生する可能性があります。 NATファイアウォールの最大保護帯域幅を増やしたい場合は、NATファイアウォールを削除してNATファイアウォールを作成することを推奨します。
2023年9月1日以降にNATファイアウォールが作成された場合、保護帯域幅に制限はありません。
NATファイアウォールはIPv6アドレスのトラフィックを保護できません。

ワークフロー

次のフローチャートは、NATファイアウォールの使用方法を示しています。

説明

Cloud Firewallは、NATファイアウォールのデフォルトのクォータを提供します。デフォルトのクォータがビジネス要件を満たせない場合は、追加のクォータを購入できます。詳細については、「Cloud Firewall の購入」をご参照ください。

前提条件

Cloud Firewallが有効化され、NATファイアウォールの十分なクォータが購入されます。詳細については、「Cloud Firewall の購入」をご参照ください。
インターネットNATゲートウェイが作成されます。詳細については、「VPC の作成と管理」をご参照ください。
重要
NATファイアウォール機能は、インターネットNATゲートウェイのみをサポートします。
インターネットNATゲートウェイは、次の要件を満たす必要があります。
- インターネットNATゲートウェイは、NATファイアウォール機能が使用可能なリージョンにあります。 NATファイアウォール機能が使用可能なリージョンの詳細については、「サポートされているリージョン」をご参照ください。
- 少なくとも1つのEIPがインターネットNATゲートウェイに関連付けられており、NATゲートウェイに関連付けられているEIPの数は10以下です。詳細については、「インターネットNATゲートウェイの作成と管理」をご参照ください。
- SNATエントリが作成され、インターネットNATゲートウェイにはDNATエントリが存在しません。詳細については、「SNATエントリの作成と管理」をご参照ください。
  インターネットNATゲートウェイにDNATエントリが存在する場合、NATファイアウォールを有効にする前にDNATエントリを削除する必要があります。詳細については、「DNATエントリの作成と管理」をご参照ください。
- インターネットNATゲートウェイを指す0.0.0.0ルートが、インターネットNATゲートウェイのVPCに追加されます。詳細については、「ルートテーブルの作成と管理」をご参照ください。
- インターネットNATゲートウェイのVPCに割り当てられているCIDRブロックのサブネットマスクの長さは少なくとも28ビットです。

NATファイアウォールの作成と有効化

このセクションでは、NATファイアウォールを作成する方法について説明します。 NATゲートウェイごとにNATファイアウォールを作成できます。

使用上の注意

新しいNATゲートウェイに関する情報をNATファイアウォール機能に同期するには、約1分から5分かかります。
NATゲートウェイに関連付けられているEIPと、NATゲートウェイに設定されているSNATエントリをNATファイアウォール機能に同期するには、約1分から2分かかります。 EIPおよびSNATエントリは、同期が完了するまで有効になりません。
ファイアウォールスイッチ > インターネットボーダー タブで Synchronize Assets をクリックして、EIPの数とSNATエントリを手動で同期することもできます。
システムは、NATゲートウェイを指すルートをNATファイアウォール機能に同期するのに30分かかります。
ファイアウォールスイッチ > [NATファイアウォール] タブで Synchronize Assets をクリックして、ルートを手動で同期することもできます。
NATファイアウォールを作成すると、Cloud firewallは次の操作を実行します。
- NATファイアウォール用に作成したvSwitchのルートテーブルに、NATゲートウェイを指す0.0.0.0/0ルートを追加します。
- システムルートテーブルの0.0.0.0/0ルートを変更して、次のホップをCloud FirewallのENIに向けます。
説明
NATファイアウォールを作成すると、Cloud firewallはNATファイアウォールのVPCにカスタムルートテーブルを作成します。 Flannelネットワークプラグインを使用するContainer Service for Kubernetes (ACK) クラスターがVPCにデプロイされている場合、NATファイアウォールの作成後にクラウドコントローラマネージャー (CCM) を使用してVPCのシステムルートテーブルを追加し、VPCの複数のルートテーブルを設定する必要があります。そうしないと、クラスタのノードのスケールアウト操作が影響を受ける可能性があります。詳細については、「VPCの複数のルートテーブルの設定」をご参照ください。
CCMを使用してNATファイアウォールのVPCに複数のルートテーブルを設定している場合は、この注意事項を無視してください。

手順

Cloud Firewall コンソールにログインします。左側のナビゲーションペインで、ファイアウォールスイッチ をクリックします。
NAT Firewall タブをクリックします。 [NAT Firewall] タブで、必要なNATゲートウェイを見つけ、操作する 列の [作成] をクリックします。
[NATファイアウォールの作成] パネルで、[今すぐ確認] をクリックします。チェックが完了し、すべての診断項目に合格したら、[次へ] をクリックします。
NAT gatewayがNATファイアウォールの作成に必要なすべての条件を満たしていることを確認した場合は、[作成のスキップと開始] をクリックします。

[NATファイアウォールの作成] パネルで、次のパラメーターを設定します。

パラメーター		説明
基本情報	名前	NATファイアウォールの名前を入力します。
トラフィックリダイレクト設定	ルートテーブルの選択	ネクストホップがNATゲートウェイであるルートテーブルを選択します。システムは、次のホップをCloud Firewall用に作成されたルートテーブルに自動的に変更します。このようにして、内部対応アセットを宛先とするトラフィックのネクストホップはNATファイアウォールを指します。
トラフィックリダイレクト設定	vSwitch for Traffic RedirectionおよびvSwitch CIDRブロック	新しいvSwitchを作成するか、既存のvSwitchを選択できます。 vSwitchのCIDRブロックを作成するための使用上の注意事項: トラフィックのリダイレクトのために、vSwitchのCIDRブロックをNATファイアウォールに割り当てる必要があります。 CIDRブロックには、少なくとも28ビットのサブネットマスクが必要であり、ネットワーク計画と競合してはなりません。 vSwitchのCIDRブロックは、VPCのCIDRブロック内にある必要があり、現在のサービスCIDRブロックと競合しません。 vSwitchのCIDRブロックを割り当てると、Cloud FirewallはvSwitchをカスタムルートテーブルに自動的に関連付けます。既存のvSwitchを選択するための使用方法のメモ: NATファイアウォールには、次の要件を満たすvSwitchが必要です。詳細については、「VPCの作成と管理」をご参照ください。 vSwitch、NAT gateway、およびNATファイアウォールは、同じVPCにデプロイする必要があります。 vSwitchは、NATゲートウェイと同じゾーンに存在する必要があります。 vSwitchのCIDRブロックのサブネットマスクの長さは少なくとも28ビットである必要があり、CIDRブロック内の使用可能なIPアドレスの数は、NATゲートウェイのSNATエントリで指定されているEIPの数よりも大きい必要があります。他のクラウドリソースはvSwitchに接続されていません。ルートテーブルを作成し、ルートテーブルをvSwitchに関連付けます。詳細については、「ルートテーブルの作成と管理」をご参照ください。オプションです。ビジネス要件に基づいて、0.0.0.0/0エントリ以外のカスタムルートをルートテーブルに追加します。詳細は、「サブネットルーティング」をご参照ください。たとえば、ワークロードでVPC間の通信が必要な場合は、VPCのバックホールルートを手動でルートテーブルに追加する必要があります。説明 vSwitchがドロップダウンリストに表示されていない場合、または必要なvSwitchが暗くなっている場合は、vSwitchが他のクラウドリソースに関連付けられているかどうか、およびvSwitchがカスタムルートテーブルに関連付けられているかどうかを確認します。 vSwitchを指定した後、NAT Firewall タブの右上隅にある Synchronize Assets をクリックします。
エンジンモード	エンジンモード	アクセス制御ポリシーの一致モードを選択します。緩いモード (デフォルト): アプリケーションタイプまたはドメイン名が不明であるトラフィックは、通常のアクセスを保証できます。厳密モード: アプリケーションタイプまたはドメイン名が不明であるトラフィックは、設定したすべてのポリシーで処理されます。拒否ポリシーを設定すると、トラフィックは拒否されます。

[上記のメモを読みました] を選択し、[ファイアウォールの有効化] をクリックします。
NATファイアウォールの作成後、[ステータス] を手動でオンにする必要があります。
NATファイアウォールを有効にした後にのみ、トラフィックをNATファイアウォールにルーティングできます。

次に何をすべきか

NATファイアウォールを有効にすると、NATファイアウォールのアクセス制御ポリシーを設定し、監査ログを表示して、プライベートアセットから発生し、インターネット宛てのトラフィックを制御できます。

アクセス制御ポリシーの設定

アクセス制御ポリシーを設定しない場合、Cloud Firewallは自動的にすべてのトラフィックを許可します。 NATファイアウォールのアクセス制御ポリシーを作成して、内部対応アセットからインターネットへのトラフィックをきめ細かく管理できます。

ファイアウォールスイッチ > NAT Firewall タブに移動し、管理するNATファイアウォールを見つけて、操作する 列のアイコンをクリックし、[アクセス制御] をクリックします。

表示されるページで、NATファイアウォールのアクセス制御ポリシーを作成します。詳細については、「NATファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

監査ログの表示

ファイアウォールスイッチ > NAT Firewall タブに移動し、管理するNATファイアウォールを見つけて、操作する 列のアイコンをクリックし、ログ監査 をクリックします。

表示されるページで、プライベートネットワークから発生し、インターネット宛てのトラフィックのログを照会します。詳細については、「ログ監査」をご参照ください。

トラフィック分析結果の表示

ファイアウォールスイッチ > NAT Firewall タブに移動し、管理するNATファイアウォールを見つけて、操作する 列のアイコンをクリックし、トラフィック分析 をクリックします。

表示されるページで、NATゲートウェイのIPアドレスを使用してアセットからインターネットに開始されたアウトバウンド接続の分析結果を表示します。詳細については、「送信接続」をご参照ください。

保護されたトラフィックに関する統計の表示

左側のナビゲーションペインから概要をクリックします。概要ページの右上隅で、[購入した仕様の使用状況] をクリックして、NATファイアウォールで保護できるピークトラフィック、最近のトラフィックのピーク、およびNATファイアウォールに使用されているクォータを表示します。

NATファイアウォールのvSwitchの表示

ファイアウォールスイッチ > NAT Firewall タブに移動し、NATファイアウォールリストの右上隅にある ファイアウォール vSwitch リスト をクリックします。

NATファイアウォールの無効化と削除

警告

NATファイアウォールを無効にすると、Cloud firewallはNATエントリを切り替えます。その結果、永続的な接続は1秒から2秒間一時的に閉じられますが、短命の接続は影響を受けません。 NATファイアウォールを無効にした後に削除しても、ワークロードは影響を受けません。

NATファイアウォールが有効になっているときに直接削除すると、Cloud firewallはNATファイアウォールを無効にし、同時に削除します。永続的な接続は、1秒から2秒間一時的に閉じられます。

NATファイアウォールの無効化
ファイアウォールスイッチ > NAT Firewall タブに移動し、無効にするNATファイアウォールを見つけて、スイッチ 列でスイッチをオフにします。
NATファイアウォールの削除
ファイアウォールスイッチ > NAT Firewall タブに移動し、削除するNATファイアウォールを見つけ、操作する 列のアイコンをクリックして、[削除] をクリックします。

参考情報

内部対応アセットから特定のドメイン名へのトラフィックを管理する方法の詳細については、内部対応サーバーのみが特定のドメイン名にアクセスできるようにポリシーを設定する.
NATファイアウォールのトラフィックログを表示する方法の詳細については、「ログ監査」をご参照ください。
インターネットファイアウォールの詳細については、次のトピックを参照してください。