インターネット資産を保護するための従量課金型 Cloud Firewall の設定 - Cloud Firewall

Cloud Firewall は、SaaSベースのネットワークセキュリティソリューションであり、クラウドインフラストラクチャを脅威から保護します。このガイドでは、サービスの有効化から防御機能の検証まで、15～20分で基本的な保護を設定する手順を説明します。

ステップ 1: 従量課金 Cloud Firewall の有効化

「Cloud Firewall 購入ページ」に移動します。[プロダクトタイプ] を 従量課金 に設定し、次の設定項目を完了します。

設定項目	説明
Auto Protection for Internet Assets	[はい] を選択すると、すべてのパブリックアセットが自動的にファイアウォールに追加され、新しいアセットの自動保護が有効になります。この設定は後でコンソールで調整できます。
Log Analysis および Log Analysis and Storage Capacity	アクセスログを保存するデフォルトオプションを維持します。この設定により、保護されたアセットからのトラフィックログのリアルタイム収集、クエリ、分析、処理、および消費が可能になり、等級保護コンプライアンス要件を満たします。
Service-linked Role	トラフィックのアクセスの制御と監視分析機能を提供するために、Cloud Firewall はご利用の Alibaba Cloud サービスリソースへのアクセスを必要とします。[サービスリンクロールを作成] をクリックします。システムは自動的にロール AliyunServiceRoleForCloudFW を作成します。このロールを手動で変更しないでください。

Cloud Firewall (従量課金)サービス利用規約を読んで同意し、Buy Now をクリックして支払いを完了します。

ステップ 2: アセット保護の表示

Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、Switchをクリックします。
インターネットボーダー タブで、現在の Alibaba Cloud アカウント配下のパブリックアセットと、その保護ステータスを確認できます。購入時に Auto Protection for Internet Assets を有効にしたため、デフォルトでは、すべてのパブリックアセットが Protected ステータスになっています。

ステップ 3: デフォルト IPS 保護の理解

Cloud Firewall には、侵入防止 (IPS) 機能が含まれており、以下の脅威を自動的にブロックします。

ネットワーク攻撃 (SQL インジェクション、XSS、コマンドインジェクション)
脆弱性エクスプロイト (CVE追跡型脆弱性)
ブルートフォース攻撃 (SSH、RDP、データベースログイン)
ワーム伝播とクリプトマイニングアクティビティ
バックドアトロイの木馬通信
サービス拒否 (DoS) 攻撃

IPS ルールを表示するには、以下の手順に従います。

左側のナビゲーションウィンドウで、Prevention Configuration > IPS の設定 を選択します。
デフォルトでは、システムはBasic Protectionと仮想パッチを有効にします。これには、日常的なセキュリティ保護シナリオに適した、[ブロック - 中] の Threat Engine Mode が使用されます。

ステップ 4: アクセス制御 (ACL) ポリシーの構成

アクセス制御 (ACL) ポリシーは、どのトラフィックがご利用のサーバーに到達するかを定義します。ホワイトリストアプローチを使用します。必要なトラフィックを明示的に許可し、その他すべてを拒否します。

デフォルトで、Cloud Firewall には、アクション が リリース に設定された次のポリシーが含まれており、これらは左側のナビゲーションウィンドウの Prevention Configuration > Access Control > Policy Configuration > インターネットボーダー で確認できます。

方向	アクセスソース	目的	プロトコル	Port	ポリシーの説明
アウトバウンド	0.0.0.0/0	0.0.0.0/0	ICMP	-	クラウド資産がネットワーク接続テストのために ICMP リクエスト (例: `ping`) を送信することを許可します。
アウトバウンド	0.0.0.0/0	0.0.0.0/0	UDP	53	クラウド資産が名前解決 (例: ウェブサイトアクセスやサービス検出) のために DNS クエリを開始することを許可します。
アウトバウンド	0.0.0.0/0	0.0.0.0/0	UDP	123	クラウド資産が時刻同期のために NTP サーバーに接続し、正確なシステム時刻を確保することを許可します。
インバウンド	0.0.0.0/0	0.0.0.0/0	ICMP	-	外部ネットワークがネットワーク接続チェックと O&M 診断のためにクラウド資産に対して `ping` 操作を実行することを許可します。

ほとんどのネットワーク攻撃リスクはインターネットから発生します。そのため、実際のビジネスニーズに合ったセキュリティポリシーを構成してください。ホワイトリストアプローチを使用します。低優先度のキャッチオールポリシーを [すべて拒否] アクションで作成し、その上に特定の許可ルールを追加します。

重要

設定ミスのリスク: 以下のポリシー例には [すべて拒否] ルールが含まれています。これらを本番環境に直接適用すると、サービス中断を引き起こす可能性があります。本番トラフィックがキャッチオールポリシーの前の明示的な「許可」ルールと一致しない場合、デフォルトでブロックされます。
構成の推奨事項:
1. 順序の原則: ホワイトリストルールは常にキャッチオールルールの前に配置します。デプロイする前に、必要なすべての本番トラフィックが拒否ルールの上に明示的に許可されていることを確認してください。
2. グレースケール検証: 最初に、キャッチオールポリシーの操作を Monitor に設定します。ログ監査 を使用してトラフィックを分析し、ポリシーを段階的に改良し、信頼できるビジネストラフィックのみを許可します。徹底的なテストを実施した後、操作を拒否に変更します。
3. 環境隔離: ステージング環境ではキャッチオールルールを完全に有効にします。本番環境で、すぐに完全なホワイトリストを定義できない場合は、ライブサービスへの影響を避けるために、キャッチオールルールのソースアドレスをテスト IP 範囲に制限します。

ポリシーの設定：「Prevention Configuration > Access Control > Policy Configuration > インターネットボーダー」ページに移動して、以下の設定を行います：

インバウンド (優先度: 高から低):

ソース	目的	プロトコル	アプリケーション	ポート	アクション
Alibaba 信頼済み IP	クラウド資産のパブリック IP	すべて	ANY	すべて	許可
Alibaba Cloud サービスのオリジン URL (例: WAF、DDoS)	クラウド資産のパブリック IP	すべて	ANY	すべて	許可
信頼できる O&M エンジニアまたは Bastionhost アドレス	クラウド資産のパブリック IP	TCP	RDP、SSH	3389、22	許可
信頼済み運用および保守 (O&M) エンジニアアドレス	クラウド資産のパブリック IP	ICMP	ANY	-	許可
すべて	ウェブサービスを提供するクラウド資産のパブリック IP	TCP	HTTPS	443	許可
すべて	API サービスを提供するクラウド資産のパブリック IP	TCP	HTTP	対応する API ポート	許可
すべて	すべて	すべて	すべて	すべて	拒否

アウトバウンド (優先度: 高から低):

ソース	目的	プロトコル	アプリケーション	ポート	アクション
すべて	Alibaba 信頼済み IP、Alibaba 信頼済みドメイン	すべて	ANY	すべて	許可
すべて	ソフトウェアリポジトリ、証明書サービス	すべて	ANY	すべて	許可
すべて	Microsoft、Google、Windows などの信頼済みドメイン	TCP	HTTPS、HTTP	すべて	許可
すべて	すべて	UDP	ANY	53、123	許可
すべて	すべて	ICMP	ANY	-	許可
すべて	すべて	すべて	すべて	すべて	拒否

ACL エンジンモードの調整: デフォルトでは、Cloud Firewall は未認識のアプリケーションまたはドメインを含むトラフィックを許可し、ポリシーの初期設定時に誤検知によるブロックを防止します。ポリシーが正しく設定されていることを確認した後、右上隅の ACL エンジン管理 をクリックし、資産の ACL エンジンモード を 厳密モード に切り替えます。
検証テスト: ポリシーを設定した後、3～5 分待ちます。ping や curl などのコマンドを使用してテストします。その後、Cloud Firewall コンソールをリフレッシュし、ヒットカウント/直近のヒット時間 列の数字をクリックして、ログ監査 ページに移動し、ヒットログを表示します。

このクイックスタートガイドのすべてのステップが完了しました。ニーズに基づいて次のステップを選択してください。

(推奨) Cloud Firewall の継続利用: 構成を調整し、エンタープライズグレードのセキュリティおよびコンプライアンス要件を満たすには、「高度な最適化」をご参照ください。
Cloud Firewall の使用停止: 課金を停止するには、「リソースの解放」をご参照ください。

高度な最適化

アドレス帳を使用した管理効率の向上

アクセス制御ポリシーが複雑になった場合、アドレス帳を使用すると管理が大幅に簡素化されます。オフィス egress IP や信頼できるパートナー IP などのビジネス関連の IP アドレスをアドレス帳として事前定義し、ポリシーで直接参照します。

「Prevention Configuration > アドレス帳」ページに移動します。
[Cloud Service IP Address Book] タブをクリックして、Alibaba Cloud が提供するアドレス帳を表示できます。
「Custom IP Address Book」タブをクリックし、次に「Create Address Book」をクリックして、頻繁に使用される IP アドレスのグループをコレクションとして定義します。詳細については、「アドレス帳」をご参照ください。

IPS 構成

デフォルトの [ブロック - 中] モードは、ほとんどのシナリオに適しています。以下の場合は IPS 設定を調整します。

高リスク保護シナリオ — 頻繁な攻撃、重要イベントサポート、レッドチーム演習など:
- 信頼できる IP をWhitelistに追加します。
- Threat Engine Mode を [ブロック - Strict] に変更してください。
- 脅威情報 機能を有効化します。
高い誤検知率:
- 信頼済み IP を Whitelist に追加する。
- [Threat Engine Mode] を [ブロック - 緩い] に変更します。
- 問題が解決しない場合は、Monitor モードに切り替えます。

VPC ファイアウォールを有効にしてプライベートネットワークのトラフィックをコントロールする

複数の VPC や Cloud Enterprise Network を使用してオンプレミスデータセンターを接続している場合は、「VPC ファイアウォール概要」を有効にすることで、TransitRouter または Express Connect 経由で接続された VPC 間、および VPC とオンプレミスデータセンター間の東西のトラフィックを検出および制御し、内部向けトラフィックを保護できます。

サブスクリプション課金を使用したコスト削減

Cloud Firewall を長期的に使用する予定がある場合は、サブスクリプション版を購入するか、より良い価格設定のために従量課金版を従量課金節約プランと組み合わせて使用します。

課金停止のためのリソース解放

このクイックスタートガイドを完了した後、チュートリアル中に作成した Cloud Firewall インスタンスが不要になった場合は、概要ページの右上隅に移動し、さらに表示 > セルフサービスリリース を選択します。