Cloud Firewall プロダクト紹介 - Cloud Firewall - Alibaba Cloud ドキュメントセンター

Alibaba Cloud Cloud Firewall は、ファイアウォールをサービスとして提供するクラウドセキュリティソリューションです。インターネット、VPC（Virtual Private Cloud）、ホスト境界におけるクラウドアセットに対して、一元的なセキュリティ隔離とトラフィック制御を実現します。Cloud Firewall は Alibaba Cloud 上のワークロードを保護する第一の防御ラインとして機能します。

Cloud Firewall のポジショニング

特徴

インターネットファイアウォール

インターネット向けアセットとインターネット間のインバウンドおよびアウトバウンドトラフィックを詳細に制御し、パブリックアセットの露出リスクを低減します。内蔵の脅威防御モジュールにより、侵害されたホストの検出、アウトバウンド接続のブロック、アクセス関係の可視化をサポートします。クラスターデプロイを採用しており、複雑な構成が不要で、ワンクリックでの保護有効化やパフォーマンスのスケーリングが可能です。

NAT ファイアウォール

VPC リソースが NAT Gateway を経由してインターネットにアクセスする際、不正アクセス、データ漏洩、悪意あるトラフィック攻撃などのセキュリティリスクにさらされる可能性があります。NAT ファイアウォールを有効にすることで、不正なトラフィックをブロックできます。

VPC ファイアウォール

Enterprise Edition または Basic Edition のトランジットルーター、または Express Connect 回線を使用して接続された VPC 間、または VPC とデータセンター間の東西のトラフィックを監視・制御します。これにより、VPC 間、VPC とデータセンター内の仮想ボーダールータ (VBR) 間、VPC とサードパーティクラウドの VBR 間、VPC と VPN ゲートウェイ間の東西トラフィックのセキュリティを確保します。

ECS ファイアウォール

Elastic Compute Service (ECS) セキュリティグループの管理および VPC 内の ECS インスタンスのトラフィック制御をサポートします。アクセス制御ポリシーは自動的に ECS セキュリティグループに同期されます。セキュリティグループのコンプライアンスチェックおよびマイクロセグメンテーションの可視化もサポートしています。

保護範囲

保護範囲

説明

参考情報

クラウドアセットおよびトラフィック

Cloud Firewall は以下のクラウドアセットまたはトラフィックを保護できます。

インターネットファイアウォール（南北方向）： ECS、EIP（レイヤー 2 EIP を含む）、ロードバランシング、Bastionhost、NAT、HaVip、GA EIP などのアセット、および IPv4 と IPv6 アセット。

保護可能なアセットタイプの詳細を表示

IPv4

IPv6

ALB EIP
Bastionhost アウトバウンド IP アドレス
Bastionhost IP アドレス
Bastionhost インバウンド IP アドレス
EIP
ECS EIP
ECS パブリック IP アドレス
ENI EIP
GA EIP
説明
- 高速化 IP アドレスが属する GA インスタンスは 標準インスタンス である必要があります。
- 高速化 IP アドレスは 弾性 IP アドレス (EIP) である必要があります。
- 高速化 IP アドレスの加速リージョンは Alibaba Cloud の POP（Point of Presence）であってはなりません。
  加速リージョンが Alibaba Cloud POP かどうかを確認するには、「ListAvailableBusiRegions」をご参照ください。
HAVIP
NAT EIP
NAT パブリック IP アドレス
NLB EIP
SLB EIP
SLB パブリック IP アドレス
AI ゲートウェイパブリック IP アドレス
API ゲートウェイパブリック IP アドレス

ALB IPv6
ECS IPv6
ENI EIP IPv6
GA EIP IPv6
説明
- 高速化 IP アドレスが属する GA インスタンスは 標準インスタンス である必要があります。
- 高速化 IP アドレスは 弾性 IP アドレス (EIP) である必要があります。
- 高速化 IP アドレスの加速リージョンは Alibaba Cloud の POP（Point of Presence）であってはなりません。
  加速リージョンが Alibaba Cloud POP かどうかを確認するには、「ListAvailableBusiRegions」をご参照ください。
NLB IPv6
SLB IPv6
AI ゲートウェイパブリック IPv6 アドレス
API ゲートウェイパブリック IPv6 アドレス

NAT ファイアウォール：プライベートネットワークからインターネットへのトラフィック。
VPC ファイアウォール（東西方向）：
- Enterprise Edition トランジットルーター用 VPC ファイアウォール
  - 同一リージョン内の複数の VPC 間のトラフィック。
  - Enterprise Edition トランジットルーター (TR) を使用して接続されたクロスリージョン VPC 間のトラフィック。
  - VPC と仮想ボーダールータ (VBR) 間のトラフィック（VPC とデータセンター間のトラフィックを表す）。
  - VPC とクラウド相互接続ネットワーク (CCN) インスタンス間のトラフィック。
  - 複数の VBR 間のトラフィック。
  - CCN インスタンスと VBR 間のトラフィック。
- Basic Edition トランジットルーター用 VPC ファイアウォール
  - 同一リージョン内の複数の VPC 間のトラフィック。
  - Basic Edition トランジットルーター (TR) を使用して接続されたクロスリージョン VPC 間のトラフィック。
  - VPC と仮想ボーダールータ (VBR) 間のトラフィック（VPC とデータセンター間のトラフィックを表す）。
  - VPC とクラウド相互接続ネットワーク (CCN) インスタンス間のトラフィック。
- Express Connect 回線用 VPC ファイアウォール
  - 同一リージョン内で同一アカウントに属し、VPC モードの Express Connect 回線を使用して接続された複数の VPC 間のトラフィック。
  - 同一リージョン内の VPC ピアリング接続を使用して接続された複数の VPC 間のトラフィック。
ECS ファイアウォール：ECS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御。

説明

歴史的なネットワークアーキテクチャのため、一部のインターネット向け SLB インスタンスでは Cloud Firewall によるトラフィックリダイレクトがサポートされていません。イントラネット SLB インスタンスに EIP を関連付けて、Cloud Firewall にトラフィックをリダイレクトし保護することを推奨します。

クラウドネットワークタイプ

VPC：Cloud Firewall はすべての Alibaba Cloud VPC をサポートします。
クラシックネットワーク：インターネットファイアウォールおよび侵入防止システム (IPS) 機能はクラシックネットワークをサポートします。ECS ファイアウォールは VPC 内のインスタンスを保護できますが、クラシックネットワーク内のインスタンスは保護できません。

サポート対象リージョン

Cloud Firewall がサポートするリージョン。

サポート対象リージョン

エディション

Cloud Firewall は、無料版、Premium Edition、Enterprise Edition、Ultimate Edition、および従量課金方式の Cloud Firewall の各エディションでご利用いただけます。次の表は各エディションの違いを示しています。Cloud Firewall の各エディションでサポートされる保護機能の詳細については、「特徴」をご参照ください。

エディション	説明	課金方法
従量課金	従量課金方式の Cloud Firewall は、インターネット向けアセットに対して信頼性の高いセキュリティ保護機能を提供します。攻撃の検知、攻撃の防止、アセット異常通知などの機能を利用でき、インターネットファイアウォールのアクセス制御ポリシーを設定できます。	従量課金。従量課金方式はビジネス要件に柔軟に対応でき、リソース使用量が頻繁に変動するシナリオや、一時的またはバースト的なリソース需要があるシナリオに適しています。
Premium Edition	Cloud Firewall Premium Edition はインターネット向けアセットを保護します。トラフィック分析とアセット保護、インターネットトラフィック管理、攻撃防止、ログ分析、マルチアカウント管理、アセット異常通知などの機能を利用できます。	サブスクリプションは、サービスを事前に支払う課金方法です。従量課金方式と比較して、サブスクリプション課金方式ではリソースを予約でき、割引料金でコストを削減できます。この課金方法は、リソース使用量が頻繁に変動せず、長期間にわたってリソースを使用するシナリオに適しています。
Enterprise Edition	Cloud Firewall Enterprise Edition は、インターネット向けアセット、VPC、ECS インスタンスを保護します。トラフィック分析と保護、インターネットと内部ネットワーク間のアクセストラフィック管理、攻撃防止、ログ分析、マルチアカウント管理、アセット異常通知などの機能を利用できます。 Cloud Firewall Enterprise Edition は、Cloud Firewall Premium Edition のすべての機能を備えています。さらに、可視化、VPC 越しのネットワークセキュリティ防御、セキュリティグループの一元管理などの付加価値サービス (VAS) も提供します。
Ultimate Edition	Cloud Firewall Ultimate Edition は、Cloud Firewall Enterprise Edition のすべての機能を備えています。Cloud Firewall Enterprise Edition と比較して、より強力な保護機能を提供します。

コンプライアンス

Cloud Firewall は、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、Cloud Security Alliance (CSA) Security, Trust, and Assurance Registry (STAR)、および Payment Card Industry (PCI) Data Security Standards (DSS) などの規格に準拠しています。

お問い合わせ

Cloud Firewall の購入または無料トライアルに関する営業前のご質問がある場合は、チケットを送信して、プロダクト技術エキスパートにお問い合わせください。

参照情報

Cloud Firewall の課金に関する詳細については、「課金概要」をご参照ください。
ビジネスニーズに合った Cloud Firewall エディションの選択方法については、「Cloud Firewall 選定ガイド」をご参照ください。
従量課金方式の Cloud Firewall の有効化および使用方法については、「従量課金方式の Cloud Firewall はじめに」をご参照ください。
サブスクリプション課金方式の Cloud Firewall の有効化および使用方法については、「サブスクリプション課金方式の Cloud Firewall はじめに」をご参照ください。