ネットワークセキュリティは、ネットワークリソースへの不正アクセスを防止し、進行中のネットワーク攻撃を検出して停止し、許可されたユーザーが必要なネットワークリソースに安全かつタイムリーにアクセスできるようにするために不可欠です。 このトピックでは、Elastic Compute Service (ECS) が、ネットワークの分離、ネットワークトラフィックの制御、ネットワークトラフィックの監視と分析、およびクラウドセキュリティ保護を通じてネットワークを保護する方法について説明します。
ネットワーク分離
VPCによるネットワーク分離
ECSは、ネットワーク環境を完全に制御するクラウド内のカスタマイズ可能なプライベートネットワークであるVirtual Private Cloud (VPC) とのネットワーク分離を保証します。 必要に応じて、クラウドに複数のVPCを作成できます。 VPCは豊富な分離機能を提供します。
VPCは論理的に互いに分離されており、デフォルトでは通信しません。
VPC内のECSインスタンスは、内部ネットワークを介して通信できるため、パブリックネットワークへの公開が少なくなります。
VPC内に複数のvSwitchを作成して、ネットワークセグメンテーションとCIDRブロック分割を管理し、異なるスイッチ間の分離を強化できます。
詳細については、「VPCとvSwitchの概要」および「VPCの作成と管理」をご参照ください。
vSwitchによるサービス分離
サービスの分離を実現するために、vSwitchを使用して異なるビジネスシナリオでCIDRブロックを分割することを推奨します。 VPCの基本コンポーネントであるvSwitchは、さまざまなインスタンスを接続し、簡単に管理できます。 次のセキュリティ機能を提供します。
サービスの分離: セキュリティレベルとサービスタイプに基づいてWebサイトを分離できます。
トラフィック制御: VPCは、vSwitchが処理するトラフィックを調整するためにvSwitchに関連付けることができるネットワークアクセス制御リスト (ACL) を提供します。
詳細については、「VPCとvSwitchの概要」および「vSwitchの作成と管理」をご参照ください。
ECSへのプライベートネットワークアクセス用のPrivateLink
PrivateLinkは、VPCとECS間にプライベートで安定した安全な接続を確立するために使用されるサービスで、インターネットゲートウェイ、NATデバイス、またはVPNを必要とせずに、VPC内にあるかのようにECSにアクセスできるようにします。 これにより、ネットワークアーキテクチャが簡素化され、プライベートネットワークアクセスサービスが可能になり、VPCセキュリティが強化され、パブリックネットワークアクセスに関連する潜在的なセキュリティリスクが軽減されます。 詳細については、「」をご参照ください。PrivateLinkとは何ですか?.
ネットワークトラフィック制御
トラフィック制御にネットワークACLを使用する
ECSはVPC内のネットワークACLを使用してトラフィックを管理します。 ネットワークACLはネットワークアクセス制御メカニズムを提供し、vSwitchと関連付けることができます。 ネットワークACLルールをカスタマイズすることで、vSwitchに出入りするデータのフローを制御し、vSwitch内のECSインスタンスへのアクセスを制御できます。 詳細については、「ネットワークACLの概要」および「ネットワークACLの作成と管理」をご参照ください。
セキュリティグループを使用したNICトラフィックの制御
ECSはセキュリティグループを使用してNIC (Network Interface Controller) トラフィックを制御します。 セキュリティグループは、ECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。 グループ内のECSインスタンスへのトラフィックを制御するセキュリティグループのインバウンドルールと、インスタンスからのトラフィックを制御するアウトバウンドルールを設定できます。 詳細については、「概要」および「セキュリティグループに関連付けられたリソースの管理」をご参照ください。
セキュリティグループは、基本セキュリティグループと高度なセキュリティグループに分類され、どちらも無料で利用できます。 基本セキュリティグループと高度なセキュリティグループは、さまざまなシナリオに適しており、セキュリティグループの容量、セキュリティグループを認証オブジェクトとして参照するセキュリティグループルールのサポート、内部相互接続ポリシーのサポート、およびデフォルトのアクセス制御ルールの項目が異なります。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。
ネットワークトラフィックの監視と分析
ECSは、VPCフローログとトラフィックミラーリングを介したネットワークトラフィックのモニタリングと分析をサポートしており、アクセス制御ルールの検証、ネットワークトラフィックのモニタリング、およびネットワークのトラブルシューティングを支援しています。
フローログはネットワークトラフィックを監視します
フローログは、elastic network interface (ENI) のインバウンドトラフィックとアウトバウンドトラフィックに関する情報を記録できます。 フローログ機能を使用して、ACLルールのチェック、ネットワークトラフィックの監視、ネットワークエラーのトラブルシューティングを行うことができます。 詳細については、「フローログの概要」をご参照ください。
トラフィックミラーリングがネットワーク例外を検出
トラフィックミラーリング機能を使用して、指定されたフィルターに基づいてENIを通過するネットワークトラフィックをミラーリングできます。 トラフィックミラーリングを使用して、VPC内のECSインスタンスからのネットワークトラフィックをミラーリングし、指定されたENIまたは内部対応のClassic Load Balancer (CLB) デバイスにトラフィックを転送できます。 この機能は、コンテンツの検査、脅威の監視、トラブルシューティングなどのシナリオで使用できます。 詳細については、「トラフィックミラーリングの概要」をご参照ください。
クラウドセキュリティ保護
Alibaba Cloudは、ECSインスタンスを潜在的なネットワーク攻撃から保護し、セキュリティリスクを軽減する一連のセキュリティ製品を提供しています。 次の製品をECSと統合して、システムのセキュリティを向上できます。
Anti-DDoS
Anti-DDoS Basicは、デフォルトでECSインスタンスに対して有効になっています。 この機能は、ECSホストに到達する前にDDoSトラフィックをスクラブするのに役立ち、DDoS攻撃からECSインスタンスを効果的に保護します。 詳細については、「Anti-DDoS Basic」をご参照ください。
Cloud Firewall
Cloud Firewallは、インターネットファイアウォール、VPCファイアウォール、および内部ファイアウォールとの統合セキュリティ管理を提供します。 内部ファイアウォールは、ECSインスタンス間のインバウンドトラフィックとアウトバウンドトラフィックを保護し、不正アクセスを防止します。 詳細については、「内部ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
Web Application Firewall
Web Application Firewall (WAF) は、悪意のあるトラフィックを除外し、侵入によるパフォーマンスの問題からWebサイトとアプリケーションを保護します。 保護のためにECSインスタンスをWAFに追加できます。 ECSインスタンスをWAFに追加すると、インスタンスのすべてのwebトラフィックは、検査用の特定のゲートウェイを使用してWAFにルーティングされます。 WAFは悪意のあるトラフィックを除外し、通常のトラフィックをECSインスタンスに転送します。 詳細は、「ECSインスタンスのWAFへの追加」をご参照ください。