Cloud Firewall の概要 - Cloud Firewall - Alibaba Cloud ドキュメントセンター

Alibaba Cloud クラウドファイアウォールは、Firewall as a Service (FWaaS) を提供するクラウドセキュリティソリューションです。インターネット、仮想プライベートクラウド (VPC)、およびホストの境界で、クラウド資産のセキュリティの分離とトラフィック制御を一元的に実装します。クラウドファイアウォールは、Alibaba Cloud でワークロードを保護するための最初の防衛線として機能します。

クラウドファイアウォールの位置付け

特徴

インターネットファイアウォール

インターネットに接続された資産とインターネット間のインバウンドおよびアウトバウンドトラフィックをきめ細かく制御し、パブリック資産の露出リスクを軽減します。組み込みの脅威防御モジュールは、侵害されたホストの検出、アウトバウンド接続のブロック、およびアクセス関係の可視化をサポートしています。クラスタデプロイメントを使用し、複雑な構成は不要で、ワンクリックで保護を有効化でき、パフォーマンスのスケーリングが可能です。

NAT ファイアウォール

VPC リソースが NAT ゲートウェイを介してインターネットにアクセスする場合、不正アクセス、データ漏洩、悪意のあるトラフィック攻撃などのセキュリティリスクに直面する可能性があります。NAT ファイアウォールを有効にすることで、不正なトラフィックをブロックできます。

VPC ファイアウォール

Enterprise Edition トランジットルーター、Basic Edition トランジットルーター、または Express Connect 回線を使用して接続された VPC 間、または VPC とデータセンター間の East-West トラフィックを監視および制御します。これにより、VPC 間、VPC とデータセンター内の仮想ボーダールーター (VBR) 間、VPC とサードパーティクラウドの VBR 間、および VPC と VPN ゲートウェイ間の East-West トラフィックのセキュリティを確保できます。

内部ファイアウォール

Elastic Compute Service (ECS) セキュリティグループの管理と、VPC 内の ECS インスタンストラフィックの制御をサポートします。アクセス制御ポリシーは ECS セキュリティグループに自動的に同期されます。セキュリティグループのコンプライアンスチェックとマイクロセグメンテーションの可視化をサポートします。

保護範囲

保護範囲

説明

参照

クラウド資産とトラフィック

クラウドファイアウォールは、次のクラウド資産またはトラフィックを保護できます。

インターネットファイアウォール (North-South): IPv4 および IPv6 アドレス（Elastic Compute Service (ECS) インスタンス、ロードバランサー資産、および Bastion ホスト、Elastic IP アドレス (EIP)、NAT ゲートウェイの EIP、Global Accelerator (GA) インスタンスの EIP、高可用性仮想 IP アドレス (HAVIP) に関連付けられた EIP など）

サポートされている資産タイプ

IPv4

IPv6

Application Load Balancer (ALB) インスタンスの EIP
Bastion ホストのエグレス IP アドレス
Bastion ホストの IP アドレス
Bastion ホストのイングレス IP アドレス
EIP
ECS インスタンスの EIP
ECS インスタンスのパブリック IP アドレス
Elastic Network Interface (ENI) の EIP
GA インスタンスの EIP
説明
- 高速化 IP アドレスが属する GA インスタンスは、[標準 GA インスタンス] である必要があります。
- 高速化 IP アドレスは、[EIP] タイプである必要があります。
- 高速化 IP アドレスが属するアクセラレーションリージョンは、Alibaba Cloud の接続ポイント (POP) にすることはできません。
  アクセラレーションリージョンが Alibaba Cloud の POP であるかどうかを確認するには、ListAvailableBusiRegions オペレーションを呼び出します。
HAVIP
NAT ゲートウェイの EIP
NAT ゲートウェイのパブリック IP アドレス
Network Load Balancer (NLB) インスタンスの EIP
Server Load Balancer (SLB) インスタンスの EIP
SLB インスタンスのパブリック IP アドレス

ALB インスタンスの IPv6 アドレス
ECS インスタンスの IPv6 アドレス
ENI の IPv6 EIP
GA インスタンスの IPv6 EIP
説明
- 高速化 IP アドレスが属する GA インスタンスは、[標準 GA インスタンス] である必要があります。
- 高速化 IP アドレスは、[EIP] タイプである必要があります。
- 高速化 IP アドレスが属するアクセラレーションリージョンは、Alibaba Cloud の接続ポイント (POP) にすることはできません。
  アクセラレーションリージョンが Alibaba Cloud の POP であるかどうかを確認するには、ListAvailableBusiRegions オペレーションを呼び出します。
NLB インスタンスの IPv6 アドレス
SLB インスタンスの IPv6 アドレス

NAT ファイアウォール: 内部ネットワークからインターネットへのトラフィック。
VPC ファイアウォール (East-West):
- Enterprise Edition トランジットルーター用に作成された VPC ファイアウォール
  - 同じリージョン内の VPC 間のトラフィック
  - Enterprise Edition トランジットルーターを使用して接続され、異なるリージョンに存在する VPC 間のトラフィック
  - VPC と VBR 間のトラフィック (VPC とデータセンター間のトラフィックとも呼ばれます)
  - VPC とクラウド接続ネットワーク (CCN) インスタンス間のトラフィック
  - VBR 間のトラフィック
  - VBR と CCN インスタンス間のトラフィック
- Basic Edition トランジットルーター用に作成された VPC ファイアウォール
  - 同じリージョン内の VPC 間のトラフィック
  - Basic Edition トランジットルーターを使用して接続され、異なるリージョンに存在する VPC 間のトラフィック
  - VPC と VBR 間のトラフィック (VPC とデータセンター間のトラフィックとも呼ばれます)
  - VPC と CCN インスタンス間のトラフィック
- Express Connect 回線用に作成された VPC ファイアウォール
  - Express Connect 回線を使用して接続され、同じリージョンに存在し、同じアカウントに属する VPC 間のトラフィック
  - VPC ピアリング接続を使用して接続され、同じリージョンに存在する VPC 間のトラフィック
内部ファイアウォール: ECS インスタンス間のインバウンドおよびアウトバウンドトラフィック。

説明

過去のネットワークアーキテクチャのため、クラウドファイアウォールは少数のインターネット向け SLB インスタンスのトラフィックリダイレクトをサポートしていません。内部向け SLB インスタンスに EIP を関連付けて、トラフィックをクラウドファイアウォールにリダイレクトして保護することをお勧めします。

クラウドネットワークタイプ

VPC: クラウドファイアウォールはすべての Alibaba Cloud VPC をサポートしています。
クラシックネットワーク: インターネットファイアウォールと侵入防御システム (IPS) 機能はクラシックネットワークをサポートしています。内部ファイアウォールは VPC 内のインスタンスを保護できますが、クラシックネットワーク内のインスタンスは保護できません。

サポートされているリージョン

クラウドファイアウォールでサポートされているリージョン。

詳細については、「サポートされているリージョン」をご参照ください。

エディション

クラウドファイアウォールは、Free Edition、Premium Edition、Enterprise Edition、Ultimate Edition、および従量課金制のクラウドファイアウォールで利用できます。次の表は、エディション間の違いを示しています。クラウドファイアウォールのさまざまなエディションでサポートされている保護機能の詳細については、「機能」をご参照ください。

エディション	説明	課金方法
Free Edition	クラウドファイアウォール Free Edition は、基本的なセキュリティチェック機能を提供します。セキュリティグループチェック、等級保護コンプライアンスチェック、資産例外通知などの機能を使用できます。	Alibaba Cloud アカウントに保護できるクラウド資産がある場合、クラウドファイアウォールを購入せずにクラウドファイアウォール Free Edition を使用して資産を保護できます。
従量課金制のクラウドファイアウォール	従量課金制のクラウドファイアウォールは、インターネットに接続された資産に対して信頼性の高いセキュリティ保護機能を提供します。攻撃認識、攻撃防止、資産例外通知などの機能を使用できます。また、インターネットファイアウォールのアクセス制御ポリシーを構成することもできます。	従量課金。従量課金制はビジネス要件に柔軟に適応し、リソースの使用量が頻繁に変動し、ビジネスに一時的またはバースト的なリソース要件があるシナリオに適しています。
Premium Edition	クラウドファイアウォール Premium Edition は、インターネットに接続された資産を保護します。トラフィック分析と資産の保護、インターネットトラフィック管理、攻撃防止、ログ分析、複数アカウント管理、資産例外通知などの機能を使用できます。	サブスクリプション。従量課金制と比較して、サブスクリプション課金制では、リソースを予約し、割引料金でコストを削減できます。サブスクリプション課金制は、リソースの使用量が頻繁に変動せず、リソースが長期間使用されるシナリオに適しています。
Enterprise Edition	クラウドファイアウォール Enterprise Edition は、インターネットに接続された資産、VPC、および ECS インスタンスを保護します。トラフィック分析と保護、インターネットと内部ネットワーク間のアクセストラフィック管理、攻撃防止、ログ分析、複数アカウント管理、資産例外通知などの機能を使用できます。クラウドファイアウォール Enterprise Edition は、クラウドファイアウォール Premium Edition が提供するすべての機能を提供します。クラウドファイアウォール Enterprise Edition は、可視化、VPC をまたがるネットワークセキュリティ防御、セキュリティグループの一元管理などの付加価値サービスも提供します。
Ultimate Edition	クラウドファイアウォール Ultimate Edition は、クラウドファイアウォール Enterprise Edition が提供するすべての機能を提供します。クラウドファイアウォール Enterprise Edition と比較して、クラウドファイアウォール Ultimate Edition はより強力な保護機能を提供します。

無料トライアル

クラウドファイアウォールを初めて購入する際に、従量課金制のクラウドファイアウォールの無料トライアルを申請できます。

コンプライアンス

クラウドファイアウォールは、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、Cloud Security Alliance (CSA) Security, Trust, and Assurance Registry (STAR)、および Payment Card Industry (PCI) Data Security Standards (DSS) に準拠しています。

お問い合わせ

クラウドファイアウォールの購入または試用についてご質問がある場合は、チケットを送信して、テクニカルエキスパートにお問い合わせください。

参照

詳細については、「課金概要」をご参照ください。
詳細については、「クラウドファイアウォールの選択について」をご参照ください。
詳細については、「従量課金制のクラウドファイアウォールの使用を開始する」をご参照ください。
詳細については、「サブスクリプション課金制のクラウドファイアウォールの使用を開始する」をご参照ください。