すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:Cloud Firewall の選択について

    ドキュメントセンター

    Cloud Firewall:Cloud Firewall の選択について

    最終更新日:May 01, 2025

    Cloud Firewall は、クラウド内のビジネスを隔離および保護し、ビジネスセキュリティを確保し、コンプライアンス要件を満たすのに役立ちます。このトピックでは、Cloud Firewall の使用を促進し、最適な保護を実現する方法について説明します。

    概要

    一般的な企業のビジネスがクラウドに移行した後、企業のセキュリティドメインは、ビジネスの種類、ネットワークサイズ、ビジネス管理などのさまざまな要因により、デフォルトモードになります。その結果、ビジネスの成長に伴い、企業のビジネスネットワークアーキテクチャが混乱します。たとえば、ビジネスに必要のないポートがインターネット上で開かれ、内部通信に過剰な権限が付与されます。ビジネスが攻撃された場合、セキュリティリスクが発生する可能性があります。したがって、企業はクラウドでのセキュリティドメイン計画にもっと注意を払う必要があります。

    ネットワークセキュリティドメインはホテルに似ています。異なるゲストは、互いに干渉することなく、異なる階や部屋に滞在できます。実際の IT 環境では、データベースをホストするサーバーとクライアントが利用できる Web サーバーのセキュリティレベルは異なります。テスト環境のサーバーと本番環境のサーバーのセキュリティレベルも異なります。この場合、機能や通信関係など、さまざまな側面からビジネス資産のセキュリティドメインを分類する必要があります。

    Cloud Firewall に基づくセキュリティドメイン分離のソリューション

    シナリオ 1:インバウンドインターネットトラフィックの保護

    • 目的:柔軟性、自動スケーリング、およびセキュリティを確保します。

    • 構成の推奨事項:

      • インターネットファイアウォールを構成して、インバウンドおよびアウトバウンドのインターネットトラフィックを管理します。

      • オプション。 非武装地帯用に仮想プライベートクラウド (VPC) を構成します。 VPC を Elastic IP アドレス (EIP)、Server Load Balancer (SLB) インスタンス、および Elastic Compute Service (ECS) インスタンスのパブリック IP アドレスと共に構成して、インバウンドインターネットトラフィックを保護できます。

    シナリオ 2:アウトバウンドインターネットトラフィックの保護

    • 目的:柔軟性、自動スケーリング、およびセキュリティを確保します。

    • 構成の推奨事項:

      • インターネットファイアウォールと NAT ファイアウォールを構成して、アウトバウンドインターネットトラフィックとアウトバウンドプライベートネットワークトラフィックを管理します。

      • オプション。 非武装地帯用に異なる VPC を構成します。 VPC を EIP および NAT ゲートウェイと共に構成して、アウトバウンドインターネットトラフィックを保護できます。

    シナリオ 3:東西クラウドトラフィックの保護

    • 目的:環境の隔離を確立し、必要な接続性とセキュリティを確保します。

    • 構成の推奨事項:

      • Cloud Enterprise Network (CEN) インスタンスを構成します。 Enterprise Edition 転送ルータを VPC に関連付けてクラウド内のネットワークインスタンスの相互接続を確立するか、Enterprise Edition 転送ルータを仮想ボーダールータ (VBR) に関連付けてクラウド間の相互接続とアクセスを実装することをお勧めします。

      • VPC ファイアウォールを構成して、レイヤー 4 からレイヤー 7 までの VPC またはクラウド間のトラフィックのアクセス制御を実装し、ラテラルムーブメント攻撃からトラフィックを保護し、トラフィックの監査とソース追跡を実行します。

      • 内部ファイアウォールを構成して、VPC 内でマイクロセグメンテーションを実装します。

    シナリオ 4:クラウド資産とデータセンター間の通信の保護

    • 目的:クラウド資産とデータセンター間の通信を実装し、セキュリティを確保します。

    • 構成の推奨事項:

      • CEN インスタンスまたは Express Connect 回線 を構成して、VBR を CEN インスタンスに接続するか、Express Connect 回線 を使用することにより、データセンターと VPC 間の通信を実装します。

      • VPC ファイアウォールを構成して、データセンターと VPC 間の異常トラフィックを監視し、レイヤー 4 からレイヤー 7 までのトラフィックを管理し、ラテラルムーブメント攻撃からトラフィックを保護します。ログ監査を実行することもできます。

    Cloud Firewall に基づくセキュリティドメイン分離のネットワークアーキテクチャ

    大規模グループ

    大規模グループでは、本番ネットワークのセキュリティドメインは、グループセキュリティドメインと子会社セキュリティドメインに分類されます。グループセキュリティドメインは、インターネット向け本番ゾーン、内部向け本番ゾーン、および非武装地帯にさらに分類されます。内部本番ネットワークのセキュリティドメインは、ビジネスの種類に基づいて、一般ビジネスセキュリティドメイン、コアビジネスセキュリティドメイン、およびデータベースセキュリティドメインに分類されます。

    中小企業

    中小企業では、セキュリティドメインは、ビジネスの種類、機能、およびネットワーク通信関係に基づいて、一般ビジネスセキュリティドメイン、コアビジネスセキュリティドメイン、データセキュリティドメイン、および Direct Messaging Application (DMA) セキュリティドメインに分類されます。

    Cloud Firewall エディションの選択 (多次元比較)

    Cloud Firewall エディションを選択する前に、各 Cloud Firewall エディションの保護範囲を理解する必要があります。これは、ビジネス要件を満たすエディションを選択するのに役立ちます。詳細については、「保護範囲」をご参照ください。

    Cloud Firewall は、Free Edition、Premium Edition、Enterprise Edition、Ultimate Edition、および従量課金制の Cloud Firewall で利用できます。従量課金制の Cloud Firewall では、従量課金節約プランを利用できます。各エディションは、異なる機能を提供し、異なる資産を保護し、異なる追加仕様をサポートします。

    次の表を参照して、ビジネス要件に基づいて適切なエディションを選択できます。詳細については、「機能」をご参照ください。

    機能

    Professional な保護機能

    機能

    説明

    サブスクリプション課金制の Cloud Firewall

    従量課金制の Cloud Firewall

    Free Edition

    Premium Edition

    Enterprise Edition

    Ultimate Edition

    インターネットファイアウォール

    この機能は、IPv4 アドレスと IPv6 アドレスを含む、パブリック IP アドレスとインターネット間のトラフィックを詳細に保護します。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされていません。

    NAT ファイアウォール

    この機能は、プライベート IP アドレスから発信され、インターネット宛てのトラフィックを詳細に保護します。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされていません。

    VPC ファイアウォール

    この機能は、クロス VPC トラフィックを詳細に保護します。

    サポートされていません。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされていません。

    エンタープライズレベルの O&M 機能

    機能

    説明

    サブスクリプション課金制の Cloud Firewall

    従量課金制の Cloud Firewall

    Free Edition

    Premium Edition

    Enterprise Edition

    Ultimate Edition

    トラフィック分析

    この機能は、クロス VPC トラフィック、インターネットおよび NAT 境界のトラフィックを分析します。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされていません。

    侵入防御

    この機能は、侵入試行を効果的に識別してブロックします。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされていません。

    ログ分析

    この機能は、トラフィックログをリアルタイムで自動的に収集、保存、および分析して、イベントの追跡とエラーのトラブルシューティングを支援します。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされていません。

    複数アカウント管理

    この機能により、リソースを共有し、複数アカウントにわたるアクセストラフィックを保護できます。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされていません。

    サポートされていません。

    資産例外通知

    この機能は、ショートメッセージまたはメールで資産の例外をできるだけ早く通知します。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされています。

    サポートされています。

    適切なシナリオ

    サブスクリプション課金制の Cloud Firewall

    従量課金制の Cloud Firewall

    Free Edition

    Premium Edition

    Enterprise Edition

    Ultimate Edition

    • リソースの使用期間を推定でき、リソースの使用量が比較的安定している企業に適しています。

    • 10 個以上のパブリック資産を持つ企業、またはピークトラフィックが 10 Mbit/s を超える企業に適しています。

    • ワークロードが頻繁に変動する企業、またはリソースに対する短期的な要件がある企業に適しています。

    • パブリック資産が 10 個未満、またはピークトラフィックが 10 Mbit/s 未満の中小企業に適しています。

    基本的なセキュリティチェック機能のみを必要とする企業に適しています。セキュリティグループチェック、等級保護コンプライアンスチェック、資産例外通知などの機能が提供されます。

    このエディションは、中小企業がインターネットに接続された資産のインバウンドトラフィックとアウトバウンドトラフィックを保護するのに役立つエントリーレベルのファイアウォール機能を提供します。

    このエディションは、中規模および大規模の企業や組織が南北トラフィックと東西トラフィックを保護し、等級保護コンプライアンス要件を完全に満たすのに役立つ中レベルのファイアウォール機能を提供します。

    このエディションは、大規模および超大規模の企業や組織が南北トラフィックと東西トラフィックを保護し、等級保護コンプライアンス要件を完全に満たすのに役立つ高レベルのファイアウォール機能を提供します。

    メトリック

    メトリック

    サブスクリプション課金制の Cloud Firewall

    従量課金制の Cloud Firewall

    Premium Edition

    Enterprise Edition

    Ultimate Edition

    インターネットファイアウォールによって保護されるパブリック IP アドレスの数

    基本料金には 20 個のパブリック IP アドレスが含まれます。追加クォータの有効な値:20 ~ 1000。

    基本料金には 50 個のパブリック IP アドレスが含まれます。追加クォータの有効な値:50 ~ 1000。

    基本料金には 400 個のパブリック IP アドレスが含まれます。有効な値:400 ~ 1000。

    最大 1,000 個のパブリック IP アドレスを保護できます。

    インターネットファイアウォールによって保護されるインターネットトラフィック

    基本料金には 10 Mbit/s の帯域幅が含まれます。追加クォータの有効な値:10 ~ 5000。単位:Mbit/s。

    基本料金には 50 Mbit/s の帯域幅が含まれます。追加クォータの有効な値:50 ~ 5000。単位:Mbit/s。

    基本料金には 200 Mbit/s の帯域幅が含まれます。追加クォータの有効な値:200 ~ 15000。単位:Mbit/s。

    最大 5 Gbit/s の帯域幅を保護できます。

    NAT ファイアウォールの数

    基本料金には、この仕様は含まれていません。追加クォータの有効な値:1 ~ 20。

    基本料金には、この仕様は含まれていません。追加クォータの有効な値:1 ~ 20。

    基本料金には、1 つの NAT ファイアウォールが含まれます。追加クォータの有効な値:1 ~ 100。

    無制限。

    NAT ファイアウォールによって保護されるプライベートネットワークトラフィック

    基本料金には、この仕様は含まれていません。追加クォータの有効な値:5 ~ 1000。単位:Mbit/s。

    基本料金には、この仕様は含まれていません。追加クォータの有効な値:5 ~ 1000。単位:Mbit/s。

    基本料金には 10 Mbit/s の帯域幅が含まれます。追加クォータの有効な値:10 ~ 5000。単位:Mbit/s。

    無制限。

    VPC ファイアウォールの数

    サポートされていません。

    基本料金には、2 つの VPC ファイアウォールが含まれます。追加クォータの有効な値:2 ~ 100。

    基本料金には、5 つの VPC ファイアウォールが含まれます。追加クォータの有効な値:5 ~ 200。

    無制限。

    VPC ファイアウォールによって保護されるトラフィック

    サポートされていません。

    基本料金には 200 Mbit/s の帯域幅が含まれます。追加クォータの有効な値:200 ~ 5000。単位:Mbit/s。

    基本料金には 1,000 Mbit/s の帯域幅が含まれます。追加クォータの有効な値:1000 ~ 10000。単位:Mbit/s。

    無制限。

    アクセス制御ポリシーのクォータ

    基本料金には、ファイアウォールの種類ごとに次の数のアクセス制御ポリシーが含まれます。

    • インターネットファイアウォール:4,000

    • NAT ファイアウォール:4,000

    追加クォータの有効な値:0 ~ 100000。

    基本料金には、ファイアウォールの種類ごとに次の数のアクセス制御ポリシーが含まれます。

    • インターネットファイアウォール:10,000

    • NAT ファイアウォール:10,000

    • VPC ファイアウォール:10,000

    追加クォータの有効な値:0 ~ 200000。

    基本料金には、ファイアウォールの種類ごとに次の数のアクセス制御ポリシーが含まれます。

    • インターネットファイアウォール:20,000

    • NAT ファイアウォール:20,000

    • VPC ファイアウォール:20,000

    追加クォータの有効な値:0 ~ 300000。

    ファイアウォールの種類ごとに次の数のアクセス制御ポリシーがサポートされています。

    • インターネットファイアウォール:2,000

    • NAT ファイアウォール:2,000

    • VPC ファイアウォール:10,000

    料金

    料金

    サブスクリプション課金制の Cloud Firewall

    従量課金制の Cloud Firewall

    Free Edition

    Premium Edition

    Enterprise Edition

    Ultimate Edition

    課金方法

    サブスクリプション課金制は、リソースの使用量が比較的安定していて予測可能であり、リソースが長期間使用されるシナリオに適しています。

    従量課金制は、リソースの使用量が頻繁に変動し、リソースが短期間使用されるシナリオに適しています。

    無料。

    基本料金

    420 米ドル/月。

    1,450 米ドル/月。

    3,900 米ドル/月。

    従量課金。

    該当なし。