従量課金方式を使用するクラウドファイアウォールを購入した後、攻撃防止やアクセス制御などのクラウドファイアウォール機能を使用して、インターネットに接続されたアセットを保護できます。 このトピックでは、保護のためにCloud Firewallにアセットを追加し、保護ポリシーを設定し、保護結果を表示するなど、従量課金方式を使用するCloud Firewallの使用方法について説明します。
フローチャート
前提条件
従量課金方式を使用するクラウドファイアウォールが購入されました。 詳細については、「Cloud Firewallの購入」をご参照ください。
ステップ1: ファイアウォールの有効化
従量課金を使用するCloud Firewallを購入した後、初めてCloud Firewallコンソールにログインすると、アセットを追加できるダイアログボックスが表示されます。 ダイアログボックスで、インターネットアセットをすべて自動接続 または インターネットアセットを手動でワンクリック接続 をクリックして、保護するアセットを追加します。
クラウドファイアウォールの購入ページで アセット保護に自動アクセスする を選択した場合、すべての新しいアセットが自動的にクラウドファイアウォールに追加されて保護されます。 クラウドファイアウォールの購入ページで アセット保護に自動アクセスする を選択しない場合は、クラウドファイアウォールコンソールにログインし、左側のナビゲーションウィンドウで を選択し、新しいアセットの保護を有効にします。 詳細については、「Internet Firewall」をご参照ください。
ステップ2: 侵入防止機能の設定
(オプション) 侵入防止ポリシーの設定
Cloud Firewallには侵入防止システム (IPS) が組み込まれており、トロイの木馬やWebシェルを含むリクエストペイロードや悪意のあるファイルなど、悪意のあるトラフィックや攻撃をリアルタイムで検出して傍受できます。 Cloud Firewallは、脅威インテリジェンスに基づいて侵入をインテリジェントにブロックできます。 IPSは、脅威インテリジェンス機能、侵入防止ルール、インテリジェントモデルベースの認識アルゴリズム、および仮想パッチ機能に基づいて攻撃を検出します。 詳細については、「IPS設定」をご参照ください。
脅威検出エンジンの動作モードは、モニタモードとブロックモードです。 Monitor作業モードでは、Cloud Firewallは悪意のあるトラフィックに対してのみアラートを生成します。 ブロック作業モードでは、Cloud Firewallはアラートを生成し、攻撃ペイロードを自動的にブロックします。 Cloud Firewallは、さまざまな種類の攻撃に対してさまざまなレベルのブロックモードも提供します。 次の表に、レベルの使用シナリオを示します。
予防設定を変更するときは、モニター作業モードを有効にすることを推奨します。 トライアルの実行後、偽陽性を分析し、分析結果に基づいてブロック作業モードを有効にします。
侵入防止の詳細については、以下のトピックを参照してください。
侵入防止の結果を表示する
侵入防止の結果を表示するには、次の操作を実行します。Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。 次に、送信元IPアドレス、送信先IPアドレス、アプリケーション、送信元、ブロックされたトラフィックのブロッキングイベントの詳細など、侵入防止の結果を表示します。 詳細については、「侵入防止」をご参照ください。
ステップ3: トラフィック統計を表示する
トラフィック分析機能は、アウトバウンド接続やインターネット露出に関する統計などのリアルタイムのトラフィック統計を提供し、可視化された方法でトラフィックを制御し、異常なトラフィックを識別できるようにします。
アウトバウンド接続
[アウトバウンド接続] ページで、クラウドアセットのドメイン名とIPアドレスを確認できます。 インテリジェンスタグ、アクセスの詳細、およびログに基づいて、設定されたアウトバウンドアクセス制御ポリシーを確認できます。 詳細については、「送信接続」をご参照ください。
インターネット露出
インターネット上に公開されているサービス、ポート、パブリックIPアドレス、およびクラウドサービス情報を表示できます。 推奨されるインテリジェントポリシーと公開されているパブリックIPアドレスに関する情報に基づいて、アクセス制御ポリシーを強化できます。 詳細については、「インターネット公開」をご参照ください。
トラフィック統計は、適切なアクセス制御ポリシーを設定するために使用できる重要な情報です。 アクセス制御ポリシーを設定する前に、アセットに関するトラフィック統計を表示することを推奨します。
手順4: アクセス制御ポリシーの作成
アクセス制御ポリシーの管理
アクセス制御ポリシーを設定しない場合、Cloud Firewallはすべてのトラフィックを許可します。 インターネットファイアウォールのアクセス制御ポリシーを設定して、インターネットに接続するアセットとインターネット間のアクセスを正確に管理できます。
詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
さまざまなアクセス制御ポリシーを設定して、さまざまなシナリオの要件を満たすことができます。 たとえば、特定のポートを介したインターネットトラフィックを許可するインバウンドポリシー、Elastic Compute Service (ECS) インスタンスのみが特定のドメイン名にアクセスすることを許可するアウトバウンドポリシー、または異なる仮想プライベートクラウド (VPC) にデプロイされているECSインスタンス間のトラフィックを拒否するポリシーを設定できます。 詳細については、「アクセス制御ポリシーの設定」をご参照ください。
アクセス制御ポリシーのヒット詳細の表示
デフォルトでは、アクセス制御ポリシーはポリシーの作成後すぐに有効になります。 Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、ポリシーの ヒット /直近のヒット時間 列でアクセス制御ポリシーのヒットの詳細を確認します。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
ステップ5: 通知の設定
アセット攻撃のリスクが発生したとき、またはアセットが追加されたときに通知を受け取るように通知を設定できます。 これにより、資産のステータスを分析し、できるだけ早い機会に例外を処理して資産のセキュリティを確保できます。 Cloud Firewallでサポートされている通知の種類と通知の設定方法の詳細については、「通知」をご参照ください。
ステップ5: 従量課金請求書の表示
従量課金方式を使用するCloud Firewallの課金サイクルは1日です。 翌日の 18:00 に請求書が生成され、アカウントの残高から料金が引き落とされます。 従量課金の請求書の詳細を照会できます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションペインで、 を選択します。
請求書の管理 ページで、従量課金方式を使用する Cloud Firewall の使用状況の詳細を表示します。 詳細には、保護されたアセットの統計データ、有効な機能、および保護されたアセットのトラフィックデータが含まれます。
費用と費用コンソールで請求書の詳細を表示するには、請求書詳細の表示 をクリックします。 詳細については、「請求書の詳細」をご参照ください。
関連ドキュメント
従量課金方法を使用するクラウドファイアウォールについてご質問がある場合は、「プリセールスに関するFAQ」をご参照ください。
従量課金方式を使用するクラウドファイアウォールでサポートされている機能の詳細については、「機能と機能」をご参照ください。
従量課金方式を使用するクラウドファイアウォールのコストを削減したい場合は、従量課金プランを使用できます。 詳細については、「従量課金の節約プラン」をご参照ください。
Cloud Firewallの課金方法を従量課金からサブスクリプションに変更する場合は、「Cloud Firewallのアップグレードとダウングレード」をご参照ください。
Cloud Firewallが不要になった場合は、サービスを手動でリリースできます。 詳細については、「Cloud Firewallのリリース」をご参照ください。