Cloud Firewallは、企業のセキュリティポリシーを一元管理できるマルチアカウント管理機能を提供します。 この機能は、管理の省略によって発生するセキュリティイベントの数を減らすのに役立ち、集中防御を提供します。 これにより、サービスをより効率的に保護することができます。 このトピックでは、Cloud Firewallを使用して仮想プライベートクラウド (VPC) リソースを共有し、複数のアカウント間で安全なアクセスを実装する方法について説明します。 このトピックでは、2つのAlibaba Cloudアカウントに属し、同じリージョンにデプロイされているVPCを例として使用します。
背景情報
ビジネスをクラウドに移行する企業が増えています。 企業が多数のクラウドリソースを購入すると、リソース、プロジェクト、人員、および権限の管理が複雑になる可能性があります。 単一のアカウントを使用して要件を満たすことはできません。 この場合、ビジネスをクラウドに移行するには、マルチアカウントシステムが必要です。 エンタープライズユーザーには、複数のアカウントにまたがるクラウドリソースの集中管理が必要です。 クラウドリソースには、セキュリティ、コンプライアンス監査、ネットワーク、およびO&M製品が含まれます。
エンタープライズ要件を満たすために、Cloud Firewallでは、Alibaba Cloud resource directoryの信頼できるサービスに基づいて、リソースディレクトリ内の複数のAlibaba Cloudアカウントを管理できます。 リソースディレクトリ内の各Alibaba Cloudアカウントはメンバーです。 メンバーを委任管理者アカウントとして指定して、リソースディレクトリ内のすべてのメンバーのリソースにアクセスできます。 これにより、Cloud Firewallの機能を使用して、複数のAlibaba Cloudアカウント間でインターネット資産とVPC資産を一元管理できます。 機能には、アクセス制御、ポリシー設定、トラフィック分析、侵入防止、攻撃防止、違反認識、ログ監査と分析が含まれます。
次の表に、アカウントに関する情報を示します。 マルチアカウント管理を使用する前に、情報を読むことを推奨します。
アカウントタイプ | 説明 | リソースディレクトリ側の権限 | クラウドファイアウォール側の権限 |
管理アカウント | 管理アカウントを使用して、リソースディレクトリに属していないAlibaba Cloudアカウントをリソースディレクトリに招待し、集中管理を行うことができます。 | アカウントは、企業のすべての資産を管理するために使用できます。 | このアカウントは、Cloud Firewallによって保護されているすべてのアセットを管理するために使用できます。 |
委任管理者アカウント | リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼済みサービスの代理管理者アカウントに指定できます。 メンバーが信頼されたサービスの委任管理者アカウントとして指定された後、そのメンバーを使用して、信頼されたサービスのリソースディレクトリに関する情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 説明 代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 | アカウントは、企業のすべての資産を管理するために使用できます。 | このアカウントは、Cloud Firewallによって保護されているすべてのアセットを管理するために使用できます。 |
メンバー | リソースディレクトリの管理アカウントによってリソースディレクトリに参加するようにアカウントが招待された後、アカウントはリソースディレクトリのメンバーになります。 | メンバーは、メンバーに属するアセットのみを管理するために使用できます。 | メンバーはCloud Firewallの購入には使用できません。 |
VPCファイアウォールの保護範囲の詳細については、「概要」をご参照ください。
このトピックでは、VPCピアリング接続を使用して接続されたVPCを例として使用します。
サンプルシナリオ
ネットワーク展開
企業のAlibaba CloudアカウントAは、中国 (北京) リージョンにBJ-VPC1とBJ-VPC2のVPCをデプロイするために使用されます。 BJ-VPC1-ECS1という名前のECSインスタンスはBJ-VPC1にあり、BJ-VPC2-ECS2という名前のECSインスタンスはBJ-VPC2にあります。 企業のAlibaba CloudアカウントBは、中国 (北京) リージョンにBJ-VPC3とBJ-VPC4のVPCをデプロイするために使用されます。 BJ-VPC3-ECS3という名前のECSインスタンスはBJ-VPC3にあり、BJ-VPC4-ECS4という名前のECSインスタンスはBJ-VPC4にあります。 BJ-VPC1とBJ-VPC2は、VPCピアリング接続を使用して接続されます。 BJ-VPC3とBJ-VPC4は、VPCピアリング接続を使用して接続されます。 接続されたVPCは互いに通信できます。
要件とソリューション
企業は、Alibaba CloudアカウントA用にのみクラウドファイアウォールを購入したいと考えています。また、企業は、BJ-VPC1とBJ-VPC2間のトラフィックをチェックし、BJ-VPC3とBJ-VPC4間のトラフィックをチェックし、VPC間のトラフィックのセキュリティを確保したいと考えています。 さらに、企業はBJ-VPC1-ECS1がBJ-VPC2-ECS2にアクセスできないことを期待しています。 上記の要件を満たすために、企業はクラウドファイアウォールの次の機能を使用できます: マルチアカウント管理、VPCファイアウォール、およびアクセス制御。
このトピックでは、Alibaba CloudアカウントAを委任管理者アカウントとして指定します。 実際のビジネスシナリオでは、ビジネス要件に基づいて委任管理者アカウントを指定できます。
次の図は、サンプルシナリオを示しています。
前提条件
管理アカウントのリソースディレクトリが有効になっています。 詳細については、「リソースディレクトリの有効化」をご参照ください。
Alibaba CloudアカウントAでは、課金方法を使用するCloud Firewall Premium Edition、Enterprise Edition、Ultimate Edition、またはCloud Firewallが購入されます。詳細については、「サブスクリプション」をご参照ください。
説明複数のメンバーを追加する場合は、マルチアカウント集中管理パラメーターを再設定して、Cloud Firewallの仕様をアップグレードします。
Alibaba CloudアカウントAとAlibaba CloudアカウントBの2つのVPCが同じリージョンにデプロイされています。 詳細については、「VPC の作成と管理」をご参照ください。
Alibaba CloudアカウントAとAlibaba CloudアカウントBの両方の2つのVPCに2つのECSインスタンスがデプロイされています。詳細については、「vSwitchの作成と管理」をご参照ください。
Alibaba CloudアカウントAとAlibaba CloudアカウントBの2つのVPCは、VPCピアリング接続を使用して接続されています。 詳細については、「VPCピアリング接続の作成と管理」をご参照ください。
次の表に、ネットワークの計画について説明します。
リソース | Alibaba CloudアカウントA | Alibaba CloudアカウントB |
アカウントID | 135809047715 **** | 166032244439 **** |
[VPC] | BJ-VPC1
BJ-VPC2
| BJ-VPC3
BJ-VPC4
|
ECS | BJ-VPC1-ECS1
BJ-VPC2-ECS2
| BJ-VPC3-ECS3
BJ-VPC4-ECS4
|
手順
ステップ1: アカウントをメンバーとしてリソースディレクトリに参加させる
管理アカウントを使用して、リソースディレクトリに属していないAlibaba Cloudアカウントをリソースディレクトリに招待し、集中管理を行うことができます。
管理アカウントを使用してリソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[メンバーの招待] ページで、メンバーを招待をクリックします。
[メンバーの招待] パネルで、アカウントIDまたはログインメールアドレスにAlibaba CloudアカウントAのID (135809047715 ****) とAlibaba CloudアカウントBのID (166032244439 ****) を入力します。 次に、同意書を読んで選択します。
説明Alibaba Cloud アカウントのメールアドレスを入力する場合は、アカウントの作成時に指定したメールアドレスを入力する必要があります。 複数のアカウント ID またはメールアドレスを入力できます。 複数のアカウント ID またはメールアドレスはコンマ (,) で区切ります。
OKをクリックします。
手順2: リソースディレクトリ内のメンバーを委任管理者アカウントとして指定する
代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリのエンタープライズ管理アカウントは、リソースディレクトリの組織管理タスクを実行するために使用されます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 このトピックでは、Alibaba CloudアカウントAを委任管理者アカウントとして指定します。
管理アカウントを使用して、リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼できるサービス] ページで、委任された管理者アカウントを追加する信頼できるサービスを見つけ、[操作] 列の [管理] をクリックします。
表示されるページの [委任管理者アカウント] セクションで、[追加] をクリックします。
では、委任管理者アカウントの追加パネルで、IDが135809047715 **** のAlibaba CloudアカウントAを見つけ、アカウントを選択します。
[OK] をクリックします。
代理管理者アカウントを使用して信頼済みサービスのマルチアカウント管理モジュールにアクセスし、リソースディレクトリ内で管理操作を実行できるようになります。
ステップ3: Cloud Firewallにメンバーを追加する
Cloud Firewallを使用すると、Alibaba Cloud resource directoryの信頼できるサービスに基づいて、リソースディレクトリ内の複数のAlibaba Cloudアカウントを管理できます。 リソースディレクトリ内の各Alibaba Cloudアカウントはメンバーです。 これにより、リソースディレクトリ内のすべてのメンバーがリソースを共有できます。
Alibaba CloudアカウントAを使用して、Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
マルチアカウント管理ページで、メンバーを追加をクリックします。
では、メンバーを追加ダイアログボックスで、IDが166032244439 **** のAlibaba CloudアカウントBを選択したメンバーセクションにアクセスします。
では、選択したメンバーセクションで、Alibaba CloudアカウントBのIDを選択し、OKをクリックします。
Alibaba CloudアカウントB (166032244439 ****) は、Alibaba Cloudアカウントa (135809047715 ****) を使用してメンバーとして追加されます。
メンバーを追加すると、Cloud Firewallはデフォルトでメンバーのリソースにアクセスできます。 VPCファイアウォールがCloud Enterprise Network (CEN) インスタンスにアタッチされているVPCを保護し、VPCが異なるAlibaba Cloudアカウントによって作成されている場合、VPCが属するAlibaba Cloudアカウント内のクラウドリソースへのアクセスを手動で許可する必要があります。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。
ステップ4: VPCファイアウォールの作成
VPCピアリング接続を使用して2つのVPCが接続されている場合、VPCファイアウォールを作成してVPC間のトラフィックを確認できます。
VPCファイアウォールを有効にすると、ルートの切り替えにより、VPC間トラフィックで一時的な接続エラーが発生することがあります。 オフピーク時にVPCファイアウォールを有効にすることを推奨します。
Alibaba CloudアカウントAを使用して、Cloud Firewallコンソールにログインします。左側のナビゲーションウィンドウで、ファイアウォールの設定.
ファイアウォールの設定ページで、VPCファイアウォールタブをクリックします。
エクスプレスコネクトタブの値が含まれる行を見つけます。VPCパラメーターはBJ-VPC1の値と、ピアVPCパラメーターはBJ-VPC2をクリックし、作成で、アクション列を作成します。
Cloud Firewallは30分ごとにリソースを自動的に同期します。 リソースを作成したばかりの場合は、リソースを見つけるまで30分待つ必要があります。
では、VPCファイアウォールの作成ダイアログボックスで、以下のパラメーターを設定し、送信.
パラメーター
説明
例
[インスタンス名]
VPCファイアウォールの名前。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
マルチアカウント管理テスト
接続タイプ
VPC間またはVPCとデータセンター間の接続のタイプ。 この例では、値はExpress Connectとして固定されています。
課金項目
VPC関連情報の確認
VPCのリージョンと名前。 情報を確認し、ルートテーブルと宛先CIDRブロックパラメーターを設定します。
VPC:
リージョン: 中国 (北京)
VPC: vpc-2zekde0udtz2s1hn9 ****-BJ-VPC1
ファイアウォールIPアドレス /NIC: 10.33.33.15-eni-2zeau3rre2q3llavidw0
ルート表: vtb-2zeo25fbkcvc2lx7j ****
宛先CIDRブロック: 10.66.66.0/24
ピアVPC:
ピア地域: 中国 (北京)
ピアVPC: vpc-2zey3h1i556yn5orn ****-BJ-VPC2
ピアファイアウォールIPアドレス /NIC: 10.66.66.92-eni-2zeau3rre2q3llavidw0
ピアルートテーブル: vtb-2zeo25 ****
ピア宛先CIDRブロック: 10.33.33.0/24
侵入防止
Cloud Firewallは、南北および東西のトラフィックをチェックすることにより、リアルタイムで侵入を防ぐ侵入防止システム (IPS) を提供します。
IPSモード: ブロックモード
IPS機能: 基本ルールと仮想パッチ
VPCファイアウォールの有効化
VPCファイアウォールを有効にすると、ファイアウォールの作成後にVPCファイアウォールが自動的に有効になります。 デフォルトでは、スイッチはオフになっています。
VPCファイアウォールの有効化: on
On theエクスプレスコネクトタブの値が含まれる行を見つけます。VPCパラメーターはBJ-VPC3の値と、ピアVPCパラメーターはBJ-VPC4をクリックし、作成で、アクション列を作成します。
では、VPCファイアウォールの作成ダイアログボックスで、以下のパラメーターを設定し、送信.
パラメーター
説明
例
[インスタンス名]
VPCファイアウォールの名前。 ビジネス要件に基づいてVPCファイアウォールを識別できるように、一意の名前を入力することを推奨します。
マルチアカウント管理test02
接続タイプ
VPC間またはVPCとデータセンター間の接続のタイプ。 この例では、値はExpress Connectとして固定されています。
課金項目
VPC関連情報の確認
VPCのリージョンと名前。 情報を確認し、ルートテーブルと宛先CIDRブロックパラメーターを設定します。
VPC:
リージョン: 中国 (北京)
VPC: vpc-2ze9epancaw8t4sha ****-VPC3-ECS3
ファイアウォールIPアドレス /NIC: 10.10.10.46-eni-2ze0if806m1f08w5 ****
ルート表: vtb-2zekhldj6y24xm6vi ****
宛先CIDRブロック: 10.10.11.0/24
ピアVPC:
ピア地域: 中国 (北京)
ピアVPC: vpc-2ze3rb2rf1rqo3peo ****-BJ-VPC4
ピアファイアウォールIPアドレス /NIC: 10.10.11.116-eni-2ze24sw34yq9n8ae ****
ピアルートテーブル: vtb-2zestg1kxe9it54yu ****
ピア宛先CIDRブロック: 10.10.10.0/24
侵入防止
Cloud Firewallは、南北および東西のトラフィックをチェックすることにより、侵入をリアルタイムで防御するIPSを提供します。
IPSモード: ブロックモード
IPS機能: 基本ルールと仮想パッチ
VPCファイアウォールの有効化
VPCファイアウォールを有効にすると、ファイアウォールの作成後にVPCファイアウォールが自動的に有効になります。 デフォルトでは、スイッチはオフになっています。
VPCファイアウォールの有効化: on
ステップ5: アクセス制御ポリシーの作成
VPCファイアウォールを使用して、VPC間のトラフィックを確認できます。 VPCファイアウォールを作成すると、デフォルトでVPC間のトラフィックが許可されます。 VPCファイアウォールのアクセス制御ポリシーを作成して、VPC内のアセットをきめ細かく管理できます。 この例では、BJ-VPC1-ECS1からBJ-VPC2-ECS2へのアクセスを拒否するアクセス制御ポリシーを作成します。 ECSインスタンスはAlibaba CloudアカウントAに属しています。
Alibaba CloudアカウントAを使用して、Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 .
VPCボーダーページで、ポリシーの作成をクリックします。
では、ポリシー-VPCボーダーの作成パネル、次のパラメータを設定します。
パラメーター
説明
例
ソースタイプ
トラフィックソースのタイプ。
IP
ソース
トラフィックの送信元のアドレス。
10.33.33.17/32
宛先タイプ
トラフィックの宛先のタイプ。
IP
目的地
トラフィックの宛先のアドレス。
10.66.66.94/32
プロトコル
トラフィックのプロトコル。
TCP
ポートタイプ
ポートのタイプ。
ポート
ポート
トラフィックを制御するポート。 [ポートタイプ] を [ポート] に設定した場合、ポート範囲を入力します。 ポートタイプをアドレス帳に設定した場合は、必要なポートアドレス帳を見つけて、[操作] 列の [選択] をクリックします。
80
アプリケーション
アプリケーションのタイプ。
任意の
Action
VPCファイアウォールに到達するトラフィックに対するアクション。
拒否
説明
ポリシーの説明です。 ポリシーの識別に役立つ説明を入力します。
マルチアカウント管理の拒否ポリシー
優先度
ポリシーの優先順位。 デフォルト値: Lowest
最低
OKをクリックします。
ステップ6: トラフィックログと侵入防止に関する情報を表示する
アセットがアクセス動作を開始した場合、VPCアクセスページでVPC間のトラフィックに関する情報を表示できます。 これにより、疑わしいトラフィックを特定し、攻撃を効率的にトラブルシューティングできます。 詳細は、「VPCアクセス」をご参照ください。 VPCのトラフィックログと侵入防止に関する情報を表示して、設定が正しいことを確認することもできます。 クエリ結果に基づいて、疑わしいトラフィックが存在するかどうかを確認できます。 疑わしいトラフィックが存在する場合、設定はビジネス要件を満たしていません。 この場合、別のアクセス制御ポリシーを作成したり、侵入防止の設定を変更したりできます。
VPCのトラフィックログの表示
Alibaba CloudアカウントAを使用して、Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ログ監査ページをクリックし、トラフィックログタブと、VPCボーダータブをクリックします。
[VPC Border] タブで、Alibaba CloudアカウントAまたはAlibaba CloudアカウントBに属するVPC間のトラフィックのログを照会します。
BJ-VPC2-ECS2からBJ-VPC1-ECS1へのトラフィックのログを照会するには、送信元IPアドレスとしてBJ-VPC2-ECS2のIPアドレス (10.66.66.94) を、送信先IPアドレスとしてBJ-VPC1-ECS1のIPアドレス (10.33.33.17) を指定します。
BJ-VPC2-ECS2からBJ-VPC1-ECS1へのアクセスに成功すると、Alibaba CloudアカウントA内の2つのVPC間のトラフィックがCloud Firewallにリダイレクトされます。
BJ-VPC3-ECS3からBJ-VPC4-ECS4へのアクセストラフィックのログを照会するには、送信元IPアドレスにBJ-VPC3-ECS3のIPアドレス (10.10.10.44) を、送信先IPアドレスにBJ-VPC4-ECS4のIPアドレス (10.10.11.115) を指定します。
BJ-VPC3-ECS3からBJ-VPC4-ECS4へのアクセスに成功すると、Alibaba CloudアカウントB内の2つのVPC間のトラフィックがCloud Firewallにリダイレクトされます。
[VPC Border] タブで、送信元IPアドレスとしてBJ-VPC1-ECS1のIPアドレス (10.33.33.17) を指定し、送信先IPアドレスとしてBJ-VPC2-ECS2のIPアドレス (10.66.66.94) を指定して、BJ-VPC1-ECS1からBJ-VPC2-ECS2へのアクセス拒否のログを照会します。
BJ-VPC1-ECS1からBJ-VPC2-ECS2への拒否されたアクセスのログは、設定されたアクセス制御ポリシーが有効であることを示します。 BJ-VPC1-ECS1からBJ-VPC2-ECS2へのアクセスは拒否されます。 エンタープライズ資産は安全に分離されます。
VPCの侵入防止に関する情報を表示する
Alibaba CloudアカウントAを使用して、Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
侵入防止ページをクリックし、VPC保護タブで検索条件を指定し、[検索] をクリックして侵入イベントに関する情報を照会します。
Alibaba CloudアカウントAに属するBJ-VPC1-ECS1とBJ-VPC2-ECS2間で返された侵入イベントは、クラウドファイアウォールがECSインスタンス間の安全でない通信を検出したことを示しています。 企業資産は侵入から保護されています。
説明BJ-VPC1-ECS1からBJ-VPC2-ECS2へのアクセストラフィックは、作成したアクセス制御拒否ポリシーと一致し、ブロックされているため、表示されません。
侵入イベントを検索し、[操作] 列の [詳細] をクリックします。 [基本情報] パネルで、侵入イベントの詳細を表示します。
関連ドキュメント
マルチアカウント管理機能の詳細については、「マルチアカウント管理機能の使用」をご参照ください。