すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:インフラストラクチャのセキュリティ

    ドキュメントセンター

    Virtual Private Cloud:インフラストラクチャのセキュリティ

    最終更新日:Feb 23, 2024

    このトピックでは、Virtual Private Cloud (VPC) のインフラストラクチャセキュリティについて説明します。

    ネットワーク分離

    仮想プライベートクラウド (VPC) は、Alibaba cloud上のプライベートネットワークです。 VPCは互いに分離されています。

    vSwitchはVPCの基本コンポーネントであり、さまざまなインスタンスを接続するために使用されます。 複数のvSwitchを作成してVPCを分割し、異なるvSwitchにElastic Compute Service (ECS) インスタンスをデプロイできます。 vSwitchを互いに分離できます。 各vSwitchにはCIDRブロックとルートテーブルがあります。 ルートテーブルを使用して、アクセス制御を有効にできます。

    制御ネットワークトラフィック

    次のいずれかの方法を使用して、VPCのネットワークトラフィックを制御できます。

    • VPCにECSインスタンスを作成する場合、デフォルトのセキュリティグループルールを使用するか、ECSインスタンスをカスタムセキュリティグループに追加して、インバウンドトラフィックとアウトバウンドトラフィックを制御できます。 セキュリティグループは、ECSインスタンスのきめ細かいアクセス制御を可能にする仮想ファイアウォールとして機能します。 さらに、カスタムのネットワークアクセス制御リスト (ACL) を作成し、ネットワークACLをvSwitchに関連付けて、vSwitchのECSインスタンスのアクセス制御を有効にすることができます。 ネットワークACLは、vSwitch内のすべてのECSインスタンスに適用できます。 大規模なアプリケーションのトラフィックを制御する必要があるシナリオでは、ネットワークACLを使用できます。 セキュリティグループとネットワークACLを使用して、VPCのリソースのセキュリティと安定性を向上させることができます。 詳細については、「セキュリティグループの概要」および「ネットワークACLの概要」をご参照ください。

    • IPv4ゲートウェイは、VPCをインターネットに接続するネットワークコンポーネントです。 IPv4ゲートウェイは、IPv4トラフィックをルーティングし、プライベートIPアドレスをパブリックIPアドレスに変換することにより、VPCがインターネットにアクセスできるようにします。 VPCがIPv4ゲートウェイを使用してインターネットにアクセスすると、IPv4トラフィックはIPv4ゲートウェイを介して流れます。 詳細については、「IPv4ゲートウェイの概要」をご参照ください。

    • IPv6ゲートウェイは、VPCのIPv6トラフィックを制御するために使用されます。 IPv6インターネット帯域幅と出力専用ルールを設定して、受信および送信IPv6トラフィックを制御できます。 詳細については、「IPv6ゲートウェイの概要」をご参照ください。

    • VPCにカスタムルートテーブルを作成し、ルートテーブルにカスタムルートを追加してから、ルートテーブルをvSwitchに関連付けてvSwitchのトラフィックを制御できます。 詳細は、「サブネットルーティング」をご参照ください。

    • VPNゲートウェイを使用して、インターネット経由でVPCをデータセンターに安全に接続できます。 VPNゲートウェイを使用して、IPsec-VPN経由でサイト間接続を確立したり、SSL-VPN経由でクライアントをサーバーに接続したりできます。 詳細については、「VPNゲートウェイとは」をご参照ください。

    • Express Connect回路を使用することで、データセンターとVPC間に高速、低遅延、信頼性の高い接続を確立できます。 Express Connect回路を使用して、複数のVPCをデータセンターに接続できます。 詳細については、「Express Connectの概要」をご参照ください。

    • VPCピアリング接続を確立して、VPCのデータ転送とリソース共有を有効にできます。 VPCピアリング接続を使用して、VPC間の通信とリソース共有を有効にできます。 詳細については、「VPCピアリング接続」をご参照ください。

    • Cloud Enterprise Network (CEN) を使用して、複数のVPC間の通信を有効にできます。 CENを使用して、企業内のすべてのVPCに接続できる柔軟で信頼性の高い大規模なクラウドネットワークを作成できます。 詳細については、「CENの概要」をご参照ください。

    • ゲートウェイエンドポイントは、仮想ゲートウェイデバイスとして機能します。 エンドポイントサービス用にVPCにゲートウェイエンドポイントを作成し、そのエンドポイントをルートテーブルに関連付けることができます。 次に、ゲートウェイエンドポイントを指すルートがVPCルートテーブルに自動的に追加されます。 これにより、VPCはエンドポイントサービスにアクセスできます。 詳細については、「ゲートウェイエンドポイント」をご参照ください。

    • フローログ機能を使用して、VPC内のECSインスタンスのelastic network interface (ENI) のインバウンドトラフィックとアウトバウンドトラフィックをキャプチャできます。 フローログ機能を使用して、アクセス制御ルールの確認、ネットワークトラフィックの監視、およびネットワークエラーのトラブルシューティングを行うことができます。 詳細については、「フローログの概要」をご参照ください。

    ネットワークACLとセキュリティグループの比較

    ネットワークACLは関連するvSwitchを介して送信されるデータを制御し、セキュリティグループは関連するECSインスタンスを介して送信されるデータを制御します。 次の表に、ネットワークACLとセキュリティグループの違いを示します。

    項目

    ネットワークACL

    セキュリティグループ

    機能

    ネットワークACLルールを設定し、ネットワークACLをvSwitchに関連付けて、vSwitch内のECSインスタンスのトラフィックを制御できます。

    セキュリティグループは、ENIおよびECSインスタンスに適用される仮想ファイアウォールとして機能します。

    適用範囲

    vSwitches。

    ECSインスタンス

    返されたトラフィックのステータス

    ステートレス: 返されるトラフィックは、インバウンドルールで許可する必要があります。

    ステートフル: 返されるトラフィックは自動的に許可され、ルールの影響を受けません。

    ルールが評価されるかどうか

    システムは、要求を優先度の高い順にルールと照合しようとします。 すべてのルールが一致するわけではありません。

    システムは、ルールが適用される前に、要求をすべてのルールと照合します。

    ECSインスタンスとの関連付け

    ECSインスタンスが属するvSwitchは、1つのネットワークACLにのみ関連付けることができます。

    各ECSインスタンスは、複数のセキュリティグループに追加できます。