Cloud Firewall の概要 - Cloud Firewall - Alibaba Cloud ドキュメントセンター

Alibaba Cloud の Cloud Firewall は、Firewall as a Service を提供するクラウドセキュリティソリューションです。 Cloud Firewall は、インターネット、仮想プライベートクラウド (VPC)、およびホスト境界でクラウド資産のセキュリティ分離とトラフィック制御を一元的に実装します。 Cloud Firewall は、Alibaba Cloud でワークロードを保護するための最初の防衛線です。

Cloud Firewall のポジショニング

機能

インターネットファイアウォール

インターネットファイアウォールは、インターネット境界でインターネットに接続されているすべてのアセットのインバウンドトラフィックとアウトバウンドトラフィックを一元的に制御します。インターネットファイアウォールを使用すると、インターネットに接続されているアセットとインターネット間のインバウンドトラフィックとアウトバウンドトラフィックをきめ細かく管理できます。これにより、インターネットに接続されているアセットのインターネット上での露出と、ビジネストラフィックのセキュリティリスクを軽減できます。インターネットファイアウォールの組み込みの侵入防止モジュールを使用すると、侵害されたサーバーを検出し、サーバーによって開始されたアウトバウンド接続をブロックし、クラウドサービス間の関係を表示できます。数回クリックするだけで、インターネットファイアウォールを有効にしてアセットを保護できます。ネットワークへのアクセスを設定したり、イメージをインストールしたりする必要はありません。インターネットファイアウォールはクラスタにデプロイされ、スムーズにスケールアップおよびスケールアウトできます。

NAT ファイアウォール

VPC 内の Elastic Compute Service (ECS) インスタンスやエラスティックコンテナインスタンスなどのリソースが NAT ゲートウェイを使用してインターネットに直接アクセスすると、不正アクセス、データ漏洩、トラフィック攻撃などのセキュリティリスクが発生する可能性があります。これらのリスクを軽減するために、NAT ファイアウォールを有効にして不正なトラフィックをブロックできます。

VPC ファイアウォール

VPC ファイアウォールは、Enterprise Edition 転送ルータ、Basic Edition 転送ルータ、または Express Connect 回線を使用して接続されている VPC 間、または VPC とデータセンター間の東西トラフィックを監視および制御するのに役立ちます。これにより、VPC 間、VPC とデータセンター内の仮想ボーダールータ (VBR) 間、VPC とサードパーティクラウドの VBR 間、および VPC と VPN ゲートウェイ間の東西トラフィックのセキュリティを確保できます。

内部ファイアウォール

内部ファイアウォールを使用して、ECS セキュリティグループを管理し、VPC 内の ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。 Cloud Firewall コンソールで内部ファイアウォール用に構成および公開するアクセス制御ポリシーは、ECS セキュリティグループに同期されます。 ECS セキュリティグループでは、コンプライアンスチェックとマイクロセグメンテーションの可視化がサポートされています。

保護範囲

保護範囲

説明

参照

クラウド資産とトラフィック

Cloud Firewall は、次のクラウド資産またはトラフィックを保護できます。

インターネットファイアウォール (南北): IPv4 および IPv6 アドレス (Elastic Compute Service (ECS) インスタンス、ロードバランサアセット、堡塁ホスト、Elastic IP アドレス (EIP)、NAT ゲートウェイの EIP、Global Accelerator (GA) インスタンスの EIP、高可用性仮想 IP アドレス (HAVIP) に関連付けられた EIP など)。

サポートされているアセットタイプ

IPv4

IPv6

Application Load Balancer (ALB) インスタンスの EIP
堡塁ホストの出力 IP アドレス
堡塁ホストの IP アドレス
堡塁ホストの入力 IP アドレス
EIP
ECS インスタンスの EIP
ECS インスタンスのパブリック IP アドレス
エラスティックネットワークインターフェース (ENI) の EIP
GA インスタンスの EIP
説明
- 高速化 IP アドレスが属する GA インスタンスは、[標準 GA インスタンス] である必要があります。
- 高速化 IP アドレスは、[EIP] タイプである必要があります。
- 高速化 IP アドレスが属するアクセラレーションリージョンは、Alibaba Cloud の接続ポイント (POP) にすることはできません。
  アクセラレーションリージョンが Alibaba Cloud の POP であるかどうかを確認するには、ListAvailableBusiRegions オペレーションを呼び出します。
HAVIP
NAT ゲートウェイの EIP
NAT ゲートウェイのパブリック IP アドレス
Network Load Balancer (NLB) インスタンスの EIP
Server Load Balancer (SLB) インスタンスの EIP
SLB インスタンスのパブリック IP アドレス

ALB インスタンスの IPv6 アドレス
ECS インスタンスの IPv6 アドレス
ENI の IPv6 EIP
GA インスタンスの IPv6 EIP
説明
- 高速化 IP アドレスが属する GA インスタンスは、[標準 GA インスタンス] である必要があります。
- 高速化 IP アドレスは、[EIP] タイプである必要があります。
- 高速化 IP アドレスが属するアクセラレーションリージョンは、Alibaba Cloud の接続ポイント (POP) にすることはできません。
  アクセラレーションリージョンが Alibaba Cloud の POP であるかどうかを確認するには、ListAvailableBusiRegions オペレーションを呼び出します。
NLB インスタンスの IPv6 アドレス
SLB インスタンスの IPv6 アドレス

NAT ファイアウォール: 内部ネットワークからインターネットへのトラフィック。
VPC ファイアウォール (東西):
- Enterprise Edition 転送ルータ用に作成された VPC ファイアウォール
  - 同じリージョン内の VPC 間のトラフィック
  - Enterprise Edition 転送ルータを使用して接続され、異なるリージョンにある VPC 間のトラフィック
  - VPC と VBR 間のトラフィック (VPC とデータセンター間のトラフィックとも呼ばれます)
  - VPC と CCN インスタンス間のトラフィック
  - VBR 間のトラフィック
  - VBR と CCN インスタンス間のトラフィック
- Basic Edition 転送ルータ用に作成された VPC ファイアウォール
  - 同じリージョン内の VPC 間のトラフィック
  - Basic Edition 転送ルータを使用して接続され、異なるリージョンにある VPC 間のトラフィック
  - VPC と VBR 間のトラフィック (VPC とデータセンター間のトラフィックとも呼ばれます)
  - VPC と CCN インスタンス間のトラフィック
- Express Connect 回線用に作成された VPC ファイアウォール
  - Express Connect 回線を使用して接続され、同じリージョンにあり、同じアカウントに属する VPC 間のトラフィック
  - VPC ピアリング接続を使用して接続され、同じリージョンにある VPC 間のトラフィック
内部ファイアウォール: ECS インスタンス間のインバウンドトラフィックとアウトバウンドトラフィック。

説明

これまでのネットワークアーキテクチャのため、Cloud Firewall は少数のインターネット向け SLB インスタンスのトラフィックリダイレクトをサポートしていません。トラフィックを Cloud Firewall にリダイレクトして保護するために、EIP をイントラネット SLB インスタンスに関連付けることをお勧めします。

詳細については、「インターネットファイアウォール」をご参照ください。
詳細については、「NAT ファイアウォール」をご参照ください。
詳細については、「Enterprise Edition 転送ルータ用に VPC ファイアウォールを設定する」をご参照ください。
詳細については、「Basic Edition 転送ルータ用に VPC ファイアウォールを設定する」をご参照ください。
詳細については、「Express Connect 回線を使用して接続された VPC 用に VPC ファイアウォールを設定する」をご参照ください。
詳細については、「内部ファイアウォールのアクセス制御ポリシーを作成する」をご参照ください。

クラウドネットワークタイプ

VPC: Cloud Firewall は、すべての Alibaba Cloud VPC をサポートしています。
クラシックネットワーク: インターネットファイアウォールと侵入防止システム (IPS) 機能は、クラシックネットワークをサポートしています。内部ファイアウォールは、VPC 内のインスタンスを保護できますが、クラシックネットワーク内のインスタンスは保護できません。

該当なし

リージョン

Cloud Firewall でサポートされているリージョン。

詳細については、「サポートされているリージョン」をご参照ください。

エディション

Cloud Firewall は、Free Edition、Premium Edition、Enterprise Edition、Ultimate Edition、および従量課金制の Cloud Firewall で利用できます。次の表に、エディション間の違いを示します。 Cloud Firewall のさまざまなエディションでサポートされている保護機能の詳細については、「機能」をご参照ください。

エディション	説明	課金方法
Free Edition	Cloud Firewall Free Edition は、基本的なセキュリティチェック機能を提供します。セキュリティグループチェック、等級保護コンプライアンスチェック、アセット例外通知などの機能を使用できます。	Alibaba Cloud アカウントに保護できるクラウド資産がある場合、Cloud Firewall を購入しなくても、Cloud Firewall Free Edition を使用して資産を保護できます。
従量課金制の Cloud Firewall	従量課金制の Cloud Firewall は、インターネットに接続されているアセットに信頼性の高いセキュリティ保護機能を提供します。攻撃認識、攻撃防止、アセット例外通知などの機能を使用できます。また、インターネットファイアウォールのアクセス制御ポリシーを設定することもできます。	従量課金。従量課金制は、リソース使用量が頻繁に変動し、ビジネスにリソースに対する短期的な要件があるシナリオに適しています。従量課金制では、いつでも Cloud Firewall を購入、スペックアップ、またはリリースできます。
Premium Edition	Cloud Firewall Premium Edition は、インターネットに接続されているアセットを保護します。アセットのトラフィック分析と保護、インターネットトラフィック管理、攻撃防止、ログ分析、複数アカウント管理、アセット例外通知などの機能を使用できます。	サブスクリプション。従量課金制と比較して、サブスクリプション課金制では、リソースを予約し、割引料金でコストを削減できます。サブスクリプション課金制は、リソース使用量が頻繁に変動せず、リソースが長期間使用されるシナリオに適しています。
Enterprise Edition	Cloud Firewall Enterprise Edition は、インターネットに接続されているアセット、VPC、および ECS インスタンスを保護します。トラフィック分析と保護、インターネットと内部ネットワーク間のアクセスのトラフィック管理、攻撃防止、ログ分析、複数アカウント管理、アセット例外通知などの機能を使用できます。 Cloud Firewall Enterprise Edition は、Cloud Firewall Premium Edition が提供するすべての機能を提供します。 Cloud Firewall Enterprise Edition は、可視化、VPC をまたがるネットワークセキュリティ防御、セキュリティグループの一元管理などの付加価値サービスも提供します。
Ultimate Edition	Cloud Firewall Ultimate Edition は、インターネットに接続されているアセット、VPC、および ECS インスタンスを保護します。トラフィック分析と保護、インターネットと内部ネットワーク間のアクセスのトラフィック管理、攻撃防止、ログ分析、複数アカウント管理、アセット例外通知などの機能を使用できます。 Cloud Firewall Ultimate Edition は、Cloud Firewall Enterprise Edition が提供するすべての機能を提供します。 Cloud Firewall Enterprise Edition と比較して、Cloud Firewall Ultimate Edition はより強力な保護機能を提供します。

無料トライアル

Cloud Firewall を初めて購入すると、従量課金制の Cloud Firewall の無料トライアルを利用できます。詳細については、「無料トライアル」をご参照ください。

コンプライアンス

Cloud Firewall は、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、Cloud Security Alliance (CSA) Security、Security、Trust、Assurance、and Risk (STAR) Registry、および Payment Card Industry (PCI) Data Security Standards (DSS) に準拠しています。

お問い合わせ

Cloud Firewall の購入時に Cloud Firewall の機能、価格、仕様について質問がある場合、または Cloud Firewall の無料トライアルを申請する場合は、チケットを送信してテクニカルサポートを受けることができます。

Cloud Firewall:Cloud Firewall とは