クラウドファイアウォールの概要 - Cloud Firewall - Alibaba Cloud ドキュメントセンター

Alibaba CloudのCloud Firewallは、サービスとしてファイアウォールを提供するクラウドセキュリティソリューションです。 Cloud Firewallは、インターネット、仮想プライベートクラウド (VPC) 、およびホストの境界で、クラウドアセットの集中的なセキュリティ分離とトラフィック制御を実装します。 Cloud Firewallは、Alibaba Cloudのワークロードを保護するための最初の防衛線です。

クラウドファイアウォールの配置

特徴

インターネットファイアウォール

インターネットファイアウォールは、インターネット境界において集中化された方法で、すべてのインターネットに面する資産のインバウンドおよびアウトバウンドトラフィックを制御する。インターネットファイアウォールを使用すると、インターネットに接続されているアセットとインターネット間の受信トラフィックと送信トラフィックをきめ細かく管理できます。これは、インターネット上のインターネットに面した資産の露出とビジネストラフィックのセキュリティリスクを減らすのに役立ちます。インターネットファイアウォールの組み込みの侵入防止モジュールを使用すると、侵害されたサーバーを検出し、サーバーによって開始されたアウトバウンド接続をブロックし、クラウドサービス間の関係を表示できます。インターネットファイアウォールを有効にして、数回クリックするだけでアセットを保護できます。ネットワークへのアクセスを設定したり、イメージをインストールしたりする必要はありません。インターネットファイアウォールはクラスターに展開され、スムーズにスケールアップおよびスケールアウトできます。

NATファイアウォール

VPC内のElastic Compute Service (ECS) インスタンスやelastic containerインスタンスなどのリソースがNAT Gatewayを使用してインターネットに直接アクセスすると、不正アクセス、データ漏洩、トラフィック攻撃などのセキュリティリスクが発生する可能性があります。これらのリスクを軽減するために、NATファイアウォールを有効にして不正トラフィックをブロックできます。

VPCファイアウォール

VPCファイアウォールは、VPC間、またはEnterprise Editionトランジットルーター、Basic Editionトランジットルーター、またはExpress Connect回路を使用して接続されたVPCとデータセンター間の東西トラフィックを監視および制御するのに役立ちます。これにより、VPC、データセンター内のVPCと仮想ボーダールーター (VBR) 、サードパーティクラウドのVPCとVBR、VPCとVPNゲートウェイ間の東西トラフィックのセキュリティが確保されます。

内部ファイアウォール

内部ファイアウォールを使用して、ECSセキュリティグループを管理し、VPC内のECSインスタンスのインバウンドおよびアウトバウンドトラフィックを制御できます。 Cloud firewallコンソールで内部ファイアウォールに対して設定および公開するアクセス制御ポリシーは、ECSセキュリティグループに同期されます。 ECSセキュリティグループでは、コンプライアンスチェックとマイクロセグメンテーションの視覚化がサポートされています。

保護スコープ

保護の対象範囲	説明	関連ドキュメント
クラウドアセットとトラフィック	Cloud Firewallは、次のクラウドアセットまたはトラフィックを保護できます。インターネットファイアウォールは、Elastic Compute Service (ECS) インスタンスのパブリックIPアドレス、ECSインスタンスのEIPアドレス (EIP) 、Classic Load Balancer (CLB) インスタンスのパブリックIPアドレス、CLBインスタンスのEIP、Application Load Balancer (ALB) インスタンスのEIP、Network Load Balancer (NLB) インスタンスのEIP、EIP (レイヤ2 EIPを含む) 、elastic network Interface (ENI) のEIP、NAT GatewayのEIP、高可用性仮想IPアドレス (HAVIP) のEIP、および要塞ホストのIPアドレス。 NATファイアウォールは、内部ネットワークからインターネットへのトラフィックを保護します。 VPCファイアウォールは、東西トラフィックを保護できます。 Enterprise Editionトランジットルーター用に作成されたVPCファイアウォールは、次のタイプのトラフィックを保護できます。同じリージョンのVPC間のトラフィック Enterprise Editionトランジットルーターを使用して接続されているクロスリージョンVPC間のトラフィック VPCとVBRまたはデータセンター間のトラフィック VPCとCCNインスタンス間のトラフィック VBR間のトラフィック VBRとCCNインスタンス間のトラフィック Basic Editionトランジットルーター用に作成されたVPCファイアウォールは、次のタイプのトラフィックを保護できます。同じリージョンのVPC間のトラフィック Basic Editionトランジットルーターを使用して接続されているクロスリージョンVPC間のトラフィック VPCとVBRまたはデータセンター間のトラフィック VPCとCCNインスタンス間のトラフィック Express Connect回路用に作成されたVPCファイアウォールは、次のタイプのトラフィックを保護できます。 Express Connect回路を使用して接続され、同じリージョンに存在し、同じアカウントに属するVPC間のトラフィック VPCピアリング接続を使用して接続され、同じリージョンにあるVPC間のトラフィック内部ファイアウォールは、ECSインスタンス間のインバウンドトラフィックとアウトバウンドトラフィックを保護できます。説明 Cloud Firewallは、ネットワークアーキテクチャの履歴により、少数のインターネット向けServer Load Balancer (SLB) インスタンスのトラフィックのリダイレクトをサポートしていません。 EIPを内部対応のSLBインスタンスに関連付けて、保護のためにトラフィックをCloud Firewallにリダイレクトすることを推奨します。	インターネットファイアウォール NATファイアウォール Enterprise Editionトランジットルーター用のVPCファイアウォールの設定 Basic EditionトランジットルーターのVPCファイアウォールの設定 Express Connect回路を使用して接続されたVPCのVPCファイアウォールの設定内部ファイアウォールのアクセス制御ポリシーの作成
クラウドネットワークタイプ	VPC: Cloud FirewallはすべてのAlibaba Cloud VPCをサポートしています。クラシックネットワーク: インターネットファイアウォールと侵入防止システム (IPS) 機能は、クラシックネットワークをサポートします。内部ファイアウォールはVPCのインスタンスを保護できますが、クラシックネットワークでは保護できません。	-
リージョン	Cloud Firewallでサポートされているリージョン。	サポートされるリージョン

エディション

Cloud Firewallは、Free Edition、Premium Edition、Enterprise Edition、Ultimate Edition、および従量課金方式を使用するCloud Firewallのエディションで利用できます。次の表に、エディションの違いを示します。 Cloud Firewallのさまざまなエディションでサポートされている保護機能の詳細については、「機能と機能」をご参照ください。

エディション	説明	課金方法
フリーエディション	Cloud Firewall Free Editionは、基本的なセキュリティチェック機能を提供します。セキュリティグループチェック、機密保護コンプライアンスチェック、アセット例外通知などの機能を使用できます。	Alibaba Cloudアカウントに保護可能なクラウドアセットがある場合、cloud Firewallを購入することなく、Cloud Firewall Free Editionを使用してアセットを保護できます。
従量課金方式を使用する Cloud Firewall	従量課金方式を使用するCloud Firewallは、インターネットに接続された資産に対して信頼性の高いセキュリティ保護機能を提供します。攻撃認識、攻撃防止、アセット例外通知などの機能を使用できます。インターネットファイアウォールのアクセス制御ポリシーを構成することもできます。	従量課金従量課金方法は、リソース使用量が頻繁に変動し、ビジネスでリソースに短期的な要件があるシナリオに適しています。従量課金では、Cloud Firewallをいつでも購入、アップグレード、またはリリースできます。
プレミアム版	Cloud Firewall Premium Editionは、インターネット向けアセットを保護します。アセットのトラフィック分析と保護、インターネットトラフィック管理、攻撃防止、ログ分析、マルチアカウント管理、アセット例外通知などの機能を使用できます。	サブスクリプション。従量課金方法と比較して、サブスクリプション課金方法では、リソースを予約し、割引料金でコストを削減できます。サブスクリプションの課金方法は、リソース使用量が頻繁に変動せず、リソースが長期間使用されるシナリオに適しています。
Enterprise Edition	Cloud Firewall Enterprise Editionは、インターネットに接続するアセット、VPC、およびECSインスタンスを保護します。トラフィック分析と保護、インターネットと内部ネットワーク間のアクセスのトラフィック管理、攻撃防止、ログ分析、マルチアカウント管理、資産例外通知などの機能を使用できます。 Cloud Firewall Enterprise Editionは、Cloud Firewall Premium Editionが提供するすべての機能を提供します。 Cloud Firewall Enterprise Editionは、視覚化、VPC全体のネットワークセキュリティ防御、セキュリティグループの集中管理などの付加価値サービスも提供します。
Ultimate Edition	Cloud Firewall Ultimate Editionは、インターネットに接続するアセット、VPC、およびECSインスタンスを保護します。トラフィック分析と保護、インターネットと内部ネットワーク間のアクセスのトラフィック管理、攻撃防止、ログ分析、マルチアカウント管理、資産例外通知などの機能を使用できます。 Cloud Firewall Ultimate Editionは、Cloud Firewall Enterprise Editionが提供するすべての機能を提供します。 Cloud Firewall Enterprise Editionと比較して、Cloud Firewall Ultimate Editionはより強力な保護機能を提供します。

無料トライアル

初めてクラウドファイアウォールを購入するときは、従量課金制のクラウドファイアウォールの無料トライアルを利用できます。詳細については、「無料トライアル」をご参照ください。

コンプライアンス

クラウドファイアウォールは、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、クラウドセキュリティアライアンス (CSA) セキュリティ、セキュリティ、信頼、保証、リスク (STAR) レジストリ、およびペイメントカード業界 (PCI) データセキュリティ標準 (DSS) に準拠しています。

お問い合わせ

Cloud Firewallの購入時にCloud Firewallの機能、価格、仕様について質問がある場合、またはCloud Firewallの無料トライアルを申請する場合は、テクニカルサポートを得る切符。