すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:セキュリティシステムの概要

    ドキュメントセンター

    Virtual Private Cloud:セキュリティシステムの概要

    最終更新日:Mar 14, 2024

    Alibaba Cloudは、システムとデータの機密性、整合性、可用性を確保するために、安定した信頼性、安全性、準拠したクラウドコンピューティングサービスを提供することに取り組んでいます。 このトピックでは、Virtual Private Cloud (VPC) のセキュリティシステムと、セキュリティ制御メカニズムの仕組みについて説明します。

    セキュリティシステム

    VPCの仕組み

    VPCはクラウド内のプライベートネットワークです。 VPC は、互いに論理的に分離されています。 VPCは、トンネリング技術に基づいて互いに分離される。 各VPCは、仮想ネットワークに対応する一意のトンネルIDによって識別されます。

    • データパケットは一意のトンネルIDでカプセル化され、VPC内のElastic Compute Service (ECS) インスタンス間の物理ネットワークを介して送信されます。

    • 異なるVPCのECSインスタンスを介して送信されるデータパケットは、異なるトンネルIDを持ちます。 したがって、異なるVPC内のECSインスタンスは互いに通信できません。

    セキュリティ保護機能

    VPCは、クラウドサービスのセキュリティと信頼性を確保するために、次の機能をサポートしています。

    機能

    説明

    ECSセキュリティグループ

    セキュリティグループは仮想ファイアウォールとして機能し、Stateful Packet Inspection (SPI) およびパケットフィルタリング機能を提供します。 セキュリティグループを使用して、クラウド内のセキュリティドメインを定義できます。 セキュリティグループルールを設定して、グループ内の1つ以上のECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。 詳細については、「セキュリティグループの概要」をご参照ください。

    ネットワークアクセス制御リスト (ACL)

    ネットワークACLを使用して、VPCのアクセス制御を規制できます。 ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けることができます。 これにより、vSwitch内のECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。 詳細については、「ネットワークACLの概要」をご参照ください。

    フローログ

    VPCはフローログ機能を提供します。 この機能は、elastic network interface (ENI) のインバウンドトラフィックとアウトバウンドトラフィックに関する情報を記録します。 フローログに基づいて、アクセス制御ルールの確認、ネットワークトラフィックの監視、ネットワークエラーのトラブルシューティングを行うことができます。 詳細については、「フローログの概要」をご参照ください。

    トラフィックミラーリング

    トラフィックミラーリング機能は、ENIを通過し、特定のフィルタ条件を満たすパケットをミラーリングできます。 トラフィックミラーリング機能は、VPC内のElastic Compute Service (ECS) インスタンスからのネットワークトラフィックをミラーリングし、指定されたENIまたは内部対応のClassic Load Balancer (CLB) インスタンスにトラフィックを転送します。 この機能は、コンテンツの検査、脅威の監視、トラブルシューティングなどのシナリオで使用できます。 詳細については、「トラフィックミラーリングの概要」をご参照ください。

    Resource Access Management (RAM) ポリシーの使用

    RAMポリシーを使用して、VPCのアクセス制御を規制できます。

    RAMポリシーで権限を指定して、RAMユーザー、ユーザーグループ、またはRAMロールに権限を付与できます。 RAMポリシーを使用して、RAMユーザーとRAMロールがアクセスまたは管理できるリソースの範囲を指定できます。

    ポリシー設定

    以下の一般的なRAMポリシーを使用して、VPCのアクセス制御を規制できます。 詳細については、「RAM権限付与 (VPC) 」および「RAM権限付与 (VPCピアリング接続) 」をご参照ください。

    権限ポリシー

    説明

    AliyunVPCFullAccess

    RAMユーザーにVPCを管理する権限を付与します。

    AliyunVPCReadOnlyAccess

    RAMユーザーにVPCの読み取り専用権限を付与します。

    システムRAMポリシーをRAMユーザーにアタッチできます。 システムRAMポリシーが要件を満たさない場合は、カスタムRAMポリシーを作成できます。 カスタムRAMポリシーの作成方法の詳細については、「RAMロールを使用してVPC権限を管理する」をご参照ください。