ECS ファイアウォールは、ご利用の Elastic Compute Service (ECS) インスタンスのインバウンドおよびアウトバウンドトラフィックを制御し、不正アクセスを防止します。アクセス制御ポリシーを公開すると、ファイアウォールは対応する ECS セキュリティグループに自動的に同期され、そこで有効になります。
ECS ファイアウォールの仕組み
ECS ファイアウォールポリシーを使用するメリット
ECS ファイアウォールポリシーを使用すると、ECS コンソールで直接セキュリティグループルールを作成する場合に比べて、次のメリットがあります。
ポリシーの一括公開
アプリケーショングループと併用した場合のセキュリティグループの自動作成
リージョンを切り替えることなく、Cloud Firewall コンソールですべてのリージョンのポリシーを管理
デフォルトでは、最大 500 個のポリシーグループを作成でき、各ポリシーグループには最大 500 個のポリシーを含めることができます。この上限には、ECS ファイアウォールで直接作成されたポリシーと、ECS セキュリティグループから同期されたポリシーが含まれます。これらの上限で不十分な場合は、不要なポリシーを削除できます。または、VPC 境界のアクセス制御ポリシーを設定して、ECS ファイアウォールポリシーの必要性を減らすこともできます。
ポリシーグループのタイプ
ポリシーグループには、標準ポリシーグループとエンタープライズポリシーグループの 2 種類があります。
利用シーン
標準ポリシーグループは、ECS の標準セキュリティグループに対応します。これは、ステートフルインスペクションとパケットフィルタリング機能を備えた仮想ファイアウォールとして機能し、クラウド内にセキュリティドメインを作成します。ポリシーグループを設定して、その中の ECS インスタンスに対するインバウンドおよびアウトバウンドトラフィックを許可または拒否できます。このタイプのポリシーグループは、高度なネットワーク制御と中程度のネットワーク接続数を必要とするシナリオに適しています。
エンタープライズポリシーグループは、ECS のエンタープライズセキュリティグループに対応します。これは、標準ポリシーグループよりも大幅に多くのインスタンスをサポートする新しいタイプのポリシーグループです。グループ内のプライベート IP アドレス数の制限をなくし、ルール設定を簡素化してメンテナンスを容易にします。このタイプは、大規模なデプロイメントと高い運用効率を必要とするエンタープライズユーザーに最適です。
相違点
標準セキュリティグループとエンタープライズセキュリティグループの詳細な比較については、「標準セキュリティグループとエンタープライズレベルのセキュリティグループ」をご参照ください。
前提条件
Cloud Firewall Enterprise Edition または Ultimate Edition の有効なサブスクリプションが必要です。詳細については、「Cloud Firewall の購入」をご参照ください。
アクセス制御ポリシーの設定
ECS ファイアウォールのアクセス制御ポリシーを設定するには、まずデフォルトポリシーを含むポリシーグループを作成します。次に、そのグループ内でインバウンドまたはアウトバウンドのアクセス制御ポリシーを設定します。グループとそのポリシーを設定した後、ポリシーグループを公開して、ポリシーを関連する ECS セキュリティグループに同期させ、有効化する必要があります。
ステップ 1: ポリシーグループの作成
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。次に、Create Policy Group をクリックします。
Create Policy Group ダイアログボックスで、ポリシーグループのパラメーターを設定し、Confirm をクリックします。
パラメーター
説明
Policy Group Type
ポリシーグループのタイプを選択します:
Common Policy Group
Enterprise Policy Group
Policy Group Name
ポリシーグループの名前を入力します。
わかりやすい名前を付けると、識別と管理が容易になります。
VPC
ポリシーグループが適用される Virtual Private Cloud (VPC) を選択します。各ポリシーグループは 1 つの VPC にのみ関連付けることができます。
Instance ID
Instance ID ドロップダウンリストから、ポリシーグループが適用される 1 つ以上の ECS インスタンスを選択します。
説明リストには、選択した VPC 内の ECS インスタンスのみが含まれます。
Description
ポリシーグループの簡単な説明を入力します。
Template
Template ドロップダウンリストから、適用するテンプレートを選択します:
default-accept-login:TCP ポート 22 および TCP ポート 3389 でのインバウンドトラフィックを許可し、すべてのアウトバウンドトラフィックを許可します。
default-accept-all:すべてのインバウンドおよびアウトバウンドトラフィックを許可します。
default-drop-all:すべてのインバウンドおよびアウトバウンドトラフィックを拒否します。
説明default-drop-all オプションは、エンタープライズポリシーグループではサポートされていません。
ステップ 2: ポリシーの設定
ホスト境界 ページで、対象のポリシーグループを見つけ、Actions 列の ポリシーの設定 をクリックします。
インバウンド または アウトバウンド タブで、Create Policy をクリックします。
Create Policy ダイアログボックスで、ポリシーのパラメーターを設定し、送信 をクリックします。
パラメーター
説明
NIC タイプ
デフォルト値は イントラネット です。この設定は、ECS インスタンスのインバウンドおよびアウトバウンドトラフィックに適用されます。
ポリシー方向性
ポリシーが有効になる方向を選択します。
Inbound:他の ECS インスタンスからポリシーグループに関連付けられた ECS インスタンスへのトラフィックを制御します。
Outbound:ポリシーグループ内の ECS インスタンスから他の ECS インスタンスへのトラフィックを制御します。
ポリシータイプ
ポリシーのアクションを選択します。
Allow:対応するトラフィックを許可します。
Deny:応答を送信せずにパケットを直接ドロップします。アクション以外が同一の 2 つのポリシーがある場合、Deny ポリシーが Allow ポリシーより優先されます。
説明Deny オプションは、エンタープライズポリシーグループではサポートされていません。
プロトコル
トラフィックのプロトコルタイプを選択します。
プロトコルタイプが不明な場合は、ANY を選択します。
ポート範囲
トラフィックの宛先ポート範囲を入力します。
1 から 200 までのすべてのポートなどの範囲を指定するには、1/200 と入力します。ポート 80 などの単一のポートを指定するには、80/80 と入力します。
優先度
ポリシーの評価順序を決定する 1 から 100 までの数値です。値が小さいほど優先度が高くなります。
ポリシーの優先度が同じ場合、Deny ポリシーが 許可 ポリシーより優先されます。
ソースタイプ、ソースオブジェクト
トラフィックのソースを指定します。このパラメーターは、ポリシー方向 が Inbound に設定されている場合に必要です。ソースタイプを選択し、それに応じてソースオブジェクトを指定できます。
CIDR Block
単一のソース CIDR ブロックを入力します。
Policy Group
ソースオブジェクト リストから別のポリシーグループを選択します。これにより、選択したソースポリシーグループ内のすべての ECS インスタンスからのトラフィックが制御されます。
説明このオプションは、エンタープライズポリシーグループではサポートされていません。
プレフィックスリスト
ソースオブジェクト リストからプレフィックスリストを選択します。Cloud Firewall は、指定されたプレフィックスリスト内の IP アドレスから ECS インスタンスへのトラフィックを制御します。プレフィックスリストの詳細については、「プレフィックスリストとポートリストを使用してセキュリティグループルールを効率的に管理する」をご参照ください。
ターゲット選択
トラフィックの宛先を指定します。このパラメーターは、ポリシー方向がインバウンドに設定されている場合に使用できます。これにより、現在のポリシーグループ内で宛先を指定できます。利用可能な宛先タイプは次のとおりです:
All ECS Instances:現在のポリシーグループに関連付けられているすべての ECS インスタンス。
CIDR Block:現在のポリシーグループに関連付けられている ECS インスタンスの IP アドレスを入力します。CIDR 表記を使用します。これにより、指定された ECS インスタンスのインバウンドトラフィックのみが制御されます。
ソース選択
トラフィックのソースを指定します。このパラメーターは、ポリシー方向がアウトバウンドに設定されている場合に使用できます。これにより、現在のポリシーグループ内でソースを指定できます。利用可能なソースタイプは次のとおりです:
All ECS Instances:現在のポリシーグループに関連付けられているすべての ECS インスタンス。
CIDR Block:ソース IP アドレスまたは CIDR ブロックを入力します。これにより、指定されたアドレスに一致する現在のポリシーグループ内のソース ECS インスタンスが識別されます。
宛先タイプ、ターゲットオブジェクト
宛先タイプと宛先オブジェクトを指定します。このパラメーターは、ポリシー方向が Outbound に設定されている場合に必要です。
利用可能な宛先タイプは次のとおりです:
CIDR Block
単一の宛先 CIDR ブロックを入力します。
Policy Group
リストからポリシーグループを選択します。これにより、ローカルホストから宛先ポリシーグループ内のすべての ECS インスタンスへのトラフィックが制御されます。
説明このオプションは、エンタープライズポリシーグループではサポートされていません。
プレフィックスリスト
リストからプレフィックスリストを選択します。これにより、プレフィックスリストに関連付けられたセキュリティグループ内のすべての ECS インスタンスへのトラフィックが制御されます。プレフィックスリストの詳細については、「プレフィックスリストとポートリストを使用してセキュリティグループルールを効率的に管理する」をご参照ください。
説明
ポリシーの説明を入力します。
ポリシーグループが作成されると、ECS ファイアウォールページのポリシーグループリストで新しいポリシーグループを表示できます。
ステップ 3: ポリシーグループの公開
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。対象のポリシーグループを見つけ、Actions 列の Publish Policy をクリックします。
Publish Policy ダイアログボックスで、更新の備考 を入力し、更新ポリシー を確認して、OK をクリックします。
ポリシーは、ポリシーグループを公開した後にのみ有効になります。ECS コンソールで、 ページに移動して、Cloud Firewall から同期されたアクセス制御ポリシーを表示します。Cloud Firewall によって作成されたセキュリティグループは、デフォルトで Cloud_Firewall_Security_Group という名前になります。
セキュリティグループポリシーの同期
手動同期:ホスト境界 ページで、セキュリティグループの同期 をクリックして、ECS セキュリティグループから Cloud Firewall にポリシーをインポートできます。同期には 2〜3 分かかります。
自動同期:Cloud Firewall は、2 時間ごとに ECS セキュリティグループからポリシーを自動的に同期します。
関連操作
ECS ファイアウォールページのポリシーグループのリストから、次の操作を実行できます:
Edit:ポリシーグループの ECS インスタンスと説明を変更します。
削除:ポリシーグループを削除します。
警告ポリシーグループを削除すると、そのグループ内のすべてのポリシーが永久に無効になります。この操作は元に戻すことはできません。削除されたグループのレコードは残りますが、それ以降の操作は一切行えなくなります。
不要になったポリシーグループを見つけて削除するには、ポリシーグループのソースを Custom に設定してリストをフィルタリングします。これにより、Cloud Firewall コンソールで手動で作成されたすべてのポリシーグループがフィルタリングされ、それらを保持するかどうかを決定できます。