Cloud Firewall:Cloud Firewallエディションを選択する

クラウド内のセキュリティドメインを分離および保護するためにCloud Firewallが必要なのはなぜですか。

一般企業の業務がクラウドに移行された後、企業のセキュリティドメインは、業務タイプ、ネットワーク規模、および業務管理などの要因によりデフォルトモードになります。 その結果、企業のビジネスネットワークアーキテクチャは、ビジネスが成長するにつれて混乱します。 たとえば、ビジネスに不要なポートはインターネット上で開かれ、内部通信に対する過度の権限が付与されます。 ビジネスに侵入すると、セキュリティリスクが発生する可能性があります。

ネットワークセキュリティドメインはホテルに似ています。 異なるゲストは、互いに干渉することなく、異なるフロアと部屋に滞在できます。 実際のIT環境では、クライアントが利用できるデータベースとwebサーバーをホストするサーバーは、さまざまなセキュリティレベルにあります。 また、テスト環境のサーバーと本番環境のサーバーは、セキュリティレベルが異なります。 この場合、ビジネス資産のセキュリティドメインを、機能や通信関係などの側面から分類する必要があります。

分離用のセキュリティドメインを設計する方法

エンタープライズビジネスは、ビジネスごとにインターネットサービスと内部システムに分類されます。 エンタープライズビジネスは、システムによって本番ゾーン、開発およびテストゾーン、共有ゾーンに分類されます。 Cloud Firewallを使用して、セキュリティドメインによってゾーンを分離および保護できます。

インバウンドインターネットトラフィックのセキュリティ設計

• 設計原則: 柔軟性、自動スケーリング、およびセキュリティを確保します。

• デザインの提案:

  • インバウンドおよびアウトバウンドインターネットトラフィックを管理するようにインターネットファイアウォールを設定します。 Cloud Firewallは、Web Application Firewall (WAF) およびAnti-DDoSと一緒に使用できます。

  • オプションです。 非武装地帯の仮想プライベートクラウド (VPC) を設定します。 VPCをelastic IPアドレス (EIP) 、Server Load Balancer (SLB) インスタンス、およびElastic Compute Service (ECS) インスタンスのパブリックIPアドレスと一緒に設定して、インバウンドインターネットトラフィックを保護できます。

アウトバウンドインターネットトラフィックのセキュリティ設計

• 設計原則: 柔軟性、自動スケーリング、およびセキュリティを確保します。

• デザインの提案:

  • アウトバウンドインターネットトラフィックとアウトバウンドプライベートネットワークトラフィックを個別に管理するように、インターネットファイアウォールとNATファイアウォールを設定します。

  • オプションです。 非武装地帯に異なるVPCを設定します。 VPCをEIPおよびNATゲートウェイと一緒に設定して、アウトバウンドインターネットトラフィックを保護できます。

セキュリティ設計によるクラウドビジネスの相互接続

• 設計原則: 環境分離を実装し、必要な接続性とセキュリティを確保します。

• デザインの提案:

  • Cloud Enterprise Network (CEN) インスタンスを設定します。 Enterprise EditionトランジットルーターをVPCに関連付けてクラウド内のネットワークインスタンスの相互接続を実装するか、Enterprise Editionトランジットルーターを仮想ボーダールーター (VBR) に関連付けてクラウド間の相互接続とアクセスを実装することを推奨します。

  • VPCファイアウォールを設定して、レイヤー4からレイヤー7までのVPCまたはクラウド間のトラフィックのアクセス制御を実装し、トラフィックを横方向移動攻撃から保護し、トラフィックの監査とソーストレースを実行します。

  • VPCでマイクロセグメンテーションを実装するように内部ファイアウォールを設定します。

クラウドサービスとデータセンター間の通信のためのセキュリティ設計

• 設計原則: クラウドサービスとデータセンター間の通信を実装し、セキュリティを確保します。

• デザインの提案:

  • VBRをCENインスタンスに接続するか、Express Connect回路を使用して、データセンターとVPC間の通信を実装するようにCENインスタンスまたはExpress Connect回路を構成します。

  • VPCファイアウォールを設定して、データセンターとVPC間の異常なトラフィックを監視し、レイヤー4からレイヤー7へのトラフィックを管理し、横方向移動攻撃からトラフィックを保護します。 ログ監査を実行することもできます。

大規模グループの子会社の場合、本番ネットワークのセキュリティドメインは、グループセキュリティドメインと子会社セキュリティドメインに分類されます。 グループセキュリティドメインは、インターネット向けの生産ゾーン、内部向けの生産ゾーン、および非武装地帯にさらに分類されます。 社内運用ネットワークのセキュリティドメインは、ビジネスタイプに基づいて、一般的なビジネスセキュリティドメイン、コアビジネスセキュリティドメイン、およびデータベースセキュリティドメインに分類されます。

ほとんどの小規模企業では、セキュリティドメインは、ビジネスタイプ、機能、およびネットワーク通信関係に基づいて、一般的なビジネスセキュリティドメイン、コアビジネスセキュリティドメイン、データセキュリティドメイン、およびダイレクトメッセージングアプリケーション (DMA) セキュリティドメインなどのドメインに分類されます。

エディション

クラウドファイアウォールとは

詳細については、「クラウドファイアウォールとは 一般的なシナリオ 」をご参照ください。

Cloud Firewallエディションを選択する方法

Cloud Firewallは、Free Edition、Premium Edition、Enterprise Edition、Ultimate Edition、および従量課金方式を使用するCloud Firewallのエディションで利用できます。 従量課金プランは、従量課金の課金方法を使用するCloud Firewallで利用できます。 各エディションは、異なる機能を提供し、異なるアセットを保護し、異なる追加仕様をサポートします。 次のセクションでは、エディションを選択する方法について説明します。 詳細については、「関数と機能」をご参照ください。

How to select an edition

従量課金 (従量課金プランを含む): 従量課金の課金方法を使用するクラウドファイアウォールでは、リソースの支払い前にリソースを使用できます。 また、従量課金の貯蓄プランを使用してコストを削減することもできます。

• 従量課金方法を使用するCloud Firewallは、ワークロードが頻繁に変動するシナリオや、リソースに短期的な要件があるシナリオに適しています。

• 従量課金方式を使用するCloud Firewallは、パブリック資産が10未満、またはネットワークトラフィックが10 Mbit/s未満の中小企業に適しています。

サブスクリプション: Cloud Firewall Premium Edition、Enterprise Edition、およびUltimate Editionは、サブスクリプションの課金方法を使用します。 サブスクリプションは、リソースを使用する前にリソースの料金を支払う必要がある課金方法です。 サブスクリプション課金方法では、リソースを予約して多数のアセットを保護できます。

• サブスクリプション課金方法は、リソースの使用期間を見積もることができ、リソース使用量が比較的フラットなままである企業に適しています。

• サブスクリプション課金方法を使用するCloud Firewallは、パブリックアセットが10を超える、またはネットワークトラフィックが10 Mbit/sを超える企業に適しています。

Cloud Firewallの保護範囲