Cloud Firewall のマルチアカウント管理機能を使用すると、エンタープライズのセキュリティポリシーを一元的に管理できます。これにより、制御の不整合に起因するセキュリティリスクを低減し、統合的な保護を実現し、ビジネス全体のセキュリティを強化します。本トピックでは、同一リージョン内の複数の Alibaba Cloud アカウント間で VPC リソースを共有し、トラフィックを保護するために Cloud Firewall を使用する方法について説明します。
背景情報
企業がクラウドへの移行を進めるにつれ、増加するリソース、プロジェクト、権限の管理が複雑化しています。単一アカウントでは負荷に対応できなくなり、マルチアカウント戦略が不可欠となっています。これにより、特にセキュリティ、コンプライアンス、ネットワーキング、運用に関連するサービスにおいて、アカウントをまたいだクラウドリソースの一元管理が必要とされています。
これらのニーズに対応するため、Cloud Firewall は Resource Directory の信頼できるサービス機能と統合されています。複数の Alibaba Cloud アカウントを単一の Resource Directory に統合し、各アカウントをメンバーアカウントとして扱うことができます。特定のメンバーアカウントを委任された管理者アカウントとして指定することで、すべてのメンバーアカウントのリソースへのアクセス権限が付与されます。これにより、組織全体のインターネット接続資産および VPC 資産に対して、トラフィック保護、ポリシー構成、トラフィック分析、侵入防止、攻撃防止、侵害検出、ログ監査を一元的に実施できます。
開始前に、関係するアカウントロールを理解してください。
アカウントロール | 説明 | Resource Management 権限 | Cloud Firewall 権限 |
管理アカウント | 管理アカウントは、他の Alibaba Cloud アカウントを Resource Directory のメンバーアカウントとして招待し、一元的に管理できます。 | すべてのエンタープライズ資産に対する完全な管理権限を持ちます。 | Cloud Firewall 内のすべての資産を管理できます。 |
委任された管理者アカウント | 管理アカウントは、Resource Directory 内のメンバーアカウントを信頼できるサービスの委任された管理者アカウントとして指定できます。指定後、委任された管理者アカウントは組織情報を参照し、Resource Directory 内のすべてのメンバーアカウントでサービス固有のタスクを管理できます。 説明 委任された管理者アカウントを使用することで、組織管理とサービス管理を分離できます。管理アカウントは Resource Directory で組織タスクを実行し、委任された管理者アカウントは信頼できるサービスでサービス固有のタスクを実行します。 | すべてのエンタープライズ資産に対する完全な管理権限を持ちます。 | Cloud Firewall 内のすべての資産を管理できます。 |
メンバーアカウント | Resource Directory に招待され、参加したアカウントです。 | 自身の資産のみを管理できます。 | Cloud Firewall を購入できません。 |
VPC ファイアウォールの保護範囲の詳細については、「VPC ファイアウォールの概要」をご参照ください。
本トピックでは、VPC ピアリング接続で接続された VPC を例として使用します。
ユースケース
ネットワークトポロジー
ある企業は、Alibaba Cloud アカウント A および B の 2 つのアカウントを使用しています。中国 (北京) リージョンで、アカウント A には BJ-VPC1 および BJ-VPC2 の 2 つの VPC があります。BJ-VPC1 には BJ-VPC1-ECS1 という名前の ECS インスタンスが含まれ、BJ-VPC2 には BJ-VPC2-ECS2 という名前のインスタンスが含まれています。アカウント B も同じリージョンに BJ-VPC3 および BJ-VPC4 の 2 つの VPC を持っています。BJ-VPC3 には BJ-VPC3-ECS3 という名前の ECS インスタンスが含まれ、BJ-VPC4 には BJ-VPC4-ECS4 という名前のインスタンスが含まれています。VPC ピアリング接続により、BJ-VPC1 と BJ-VPC2 間のトラフィックが可能になり、別の VPC ピアリング接続により、BJ-VPC3 と BJ-VPC4 間のトラフィックが可能になります。
目標とソリューション
この企業は、アカウント A のみで Cloud Firewall を有効化しつつ、すべての VPC(BJ-VPC1 と BJ-VPC2、BJ-VPC3 と BJ-VPC4)間のトラフィックを検査したいと考えています。また、このソリューションでは、インスタンス BJ-VPC1-ECS1 がインスタンス BJ-VPC2-ECS2 にアクセスできないようにする必要があります。これを実現するために、企業は Cloud Firewall のマルチアカウント管理、VPC ファイアウォール、アクセス制御機能を利用できます。
本トピックでは、アカウント A が委任された管理者アカウントです。実際のシナリオでは、ビジネスニーズに基づいてアカウントを指定できます。
次の図にユースケースを示します。
前提条件
管理アカウントで Resource Directory を有効化済みです。詳細については、「Resource Directory の有効化」をご参照ください。
アカウント A で Cloud Firewall Premium、Enterprise、Ultimate、または従量課金エディションが有効化されています。詳細については、「サブスクリプション 2.0」をご参照ください。
説明より多くのメンバーアカウントを追加するには、サポートされるアカウント数を増やすために Cloud Firewall エディションをスペックアップする必要がある場合があります。
アカウント A および B の両方で、同一リージョン内に 2 つの VPC を作成済みです。詳細については、「VPC の作成と管理」をご参照ください。
アカウント A および B の両方で、各 VPC に ECS インスタンスを 1 つずつ作成済みです。詳細については、「クラウドリソースの作成」をご参照ください。
アカウント A の 2 つの VPC 間およびアカウント B の 2 つの VPC 間で、それぞれ VPC ピアリング接続を確立済みです。詳細については、「VPC ピアリング接続を使用した VPC 間の非公開通信の有効化」をご参照ください。
次の表にネットワーク構成を示します。
リソース | Alibaba Cloud アカウント A | Alibaba Cloud アカウント B |
アカウント ID | 135809047715**** | 166032244439**** |
VPC | BJ-VPC1
BJ-VPC2
| BJ-VPC3
BJ-VPC4
|
ECS | BJ-VPC1-ECS1
BJ-VPC2-ECS2
| BJ-VPC3-ECS3
BJ-VPC4-ECS4
|
操作手順
ステップ 1:Resource Directory へのメンバーの招待
管理アカウントは、他の Alibaba Cloud アカウントを Resource Directory のメンバーアカウントとして招待し、一元的に管理できます。
管理アカウントで Resource Management コンソール にログインします。
-
左側のナビゲーションペインで、を選択します。
-
[メンバーの招待] をクリックします。
[メンバーの招待] パネルで、[アカウント ID またはログインメールアドレス] フィールドにアカウント A(135809047715****)およびアカウント B(166032244439****)のアカウント ID を入力します。その後、リスク通知チェックボックスを読み、選択します。
説明Alibaba Cloud アカウントの登録に使用したメールアドレスを入力してください。サブメールアドレスではありません。複数のアカウント ID またはメールアドレスをカンマ(,)で区切って入力することで、一括してアカウントを招待できます。
[OK] をクリックします。
ステップ 2:委任された管理者の追加
委任された管理者アカウントを使用することで、組織管理とサービス管理を分離できます。管理アカウントは Resource Directory で組織タスクを実行し、委任された管理者アカウントは信頼できるサービスでサービス固有のタスクを実行します。本トピックでは、アカウント A が委任された管理者アカウントです。
Cloud Firewall の委任された管理者アカウントは、最大 5 つまで指定できます。
管理アカウントで Resource Management コンソール にログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
[信頼できるサービス] ページで、対象の信頼できるサービスの [操作] 列の [管理] をクリックします。
-
[委任された管理者アカウント] エリアで、[追加] をクリックします。
[委任された管理者アカウント] パネルで、アカウント A(135809047715****)の ID を選択します。
-
[確定] をクリックします。
追加が成功すると、その委任された管理者アカウントを使用して対応する信頼できるサービスのマルチアカウント管理モジュールにアクセスし、Resource Directory 組織範囲内の管理操作を実行できます。
ステップ 3:Cloud Firewall へのメンバーアカウントの追加
Cloud Firewall は、Resource Directory の信頼できるサービス機能と統合されています。複数の Alibaba Cloud アカウントを単一の Resource Directory に統合し、各アカウントをリソースを共有できるメンバーアカウントとして扱うことができます。
アカウント A で Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
[マルチアカウント管理] ページで、[Add Member] をクリックします。
[メンバーの追加] ダイアログボックスで、アカウント B(166032244439****)のアカウント ID を右側の [選択済みメンバー] リストに追加します。
[選択済みメンバー] リストで、アカウント B(166032244439****)の ID を選択し、[OK] をクリックします。
アカウント B(166032244439****)が、アカウント A(135809047715****)のメンバーアカウントとして追加されました。
メンバーアカウントを追加すると、Cloud Firewall はデフォルトでそのメンバーアカウントのリソースへのアクセス権限を取得します。Cloud Enterprise Network (CEN) 下の VPC ファイアウォールが、異なるアカウントに属する VPC を含むネットワークインスタンスを保護している場合、Cloud Firewall がそれらのアカウント内のクラウドリソースにアクセスできるように、手動で権限を付与する必要があります。詳細については、「Cloud Firewall によるクラウドリソースへのアクセスの許可」をご参照ください。
ステップ 4:VPC ファイアウォールの作成
2 つの VPC が VPC ピアリング接続で接続されている場合、VPC ファイアウォールを作成してそれらの間のトラフィックを検査できます。
VPC ファイアウォールを有効化すると、ルートのスイッチオーバーにより VPC 間のトラフィックが一時的に中断される可能性があります。この操作は、ピーク時間外に実行することを推奨します。
アカウント A で Cloud Firewall コンソール にログインします。左側のナビゲーションウィンドウで、[Firewall] をクリックします。
[ファイアウォール設定] ページで、[VPC ファイアウォール] タブをクリックします。
[Express Connect] タブで、[VPC] が [BJ-VPC1] かつ [ピア VPC] が [BJ-VPC2] のエントリを見つけ、[操作] 列の [作成] をクリックします。
Cloud Firewall は、30 分ごとにリソースを自動同期します。最近作成したリソースは、最大 30 分かかる場合があります。
[VPC ファイアウォールの作成] ダイアログボックスで、次のパラメーターを構成し、[OK] をクリックします。
パラメーター
説明
例
インスタンス名
VPC ファイアウォールインスタンスの名前です。識別しやすいように、一意でわかりやすい名前を使用することを推奨します。
multi-account-test
接続タイプ
VPC 間または VPC とオンプレミスデータセンター間の通信方法です。これは自動的に [Express Connect] に設定されます。
Express Connect
VPC 関連情報
VPC リージョンおよびインスタンスを確認します。保護する [ルートテーブル] を選択し、[送信先 CIDR ブロック] を指定します。
ローカル VPC:
リージョン: 中国 (北京)
VPC: vpc-2zekde0udtz2s1hn9****
ファイアウォール IP/ENI: 10.33.33.15-eni-2zeau3rre2q3llavidw0
ルートテーブル: vtb-2zeo25fbkcvc2lx7j****
送信先 CIDR ブロック: 10.66.66.0/24
ピア VPC:
リージョン: 中国 (北京)
VPC: vpc-2zey3h1i556yn5orn****
ファイアウォール IP/ENI: 10.66.66.92-eni-2zeau3rre2q3llavidw0
ルートテーブル: vtb-2zeo25****
送信先 CIDR ブロック: 10.33.33.0/24
侵入防止
Cloud Firewall には、侵入防止 (IPS) 用の組み込み型脅威検知エンジンが備わっており、ノースサウス(インターネット)およびイーストウエスト(VPC 間)トラフィックを検査して、ネットワーク侵入をリアルタイムでブロックします。
IPS モード: ブロック - 緩い。
IPS ポリシー: 基本ルールおよび仮想パッチ適用。
VPC ファイアウォールの有効化
有効化すると、VPC ファイアウォールは作成後に自動的にアクティブになります。デフォルトでは無効です。
このオプションを有効化します。
[Express Connect] タブで、[VPC] が [BJ-VPC3] かつ [ピア VPC] が [BJ-VPC4] のエントリを見つけ、[操作] 列の [作成] をクリックします。
[VPC ファイアウォールの作成] ダイアログボックスで、次のパラメーターを構成し、[OK] をクリックします。
パラメーター
説明
例
インスタンス名
VPC ファイアウォールインスタンスの名前です。識別しやすいように、一意でわかりやすい名前を使用することを推奨します。
multi-account-test02
接続タイプ
VPC 間または VPC とオンプレミスデータセンター間の通信方法です。これは自動的に [Express Connect] に設定されます。
Express Connect
VPC 関連情報
VPC リージョンおよびインスタンスを確認します。保護する [ルートテーブル] を選択し、[送信先 CIDR ブロック] を指定します。
ローカル VPC:
リージョン: 中国 (北京)
VPC ID: vpc-2ze9epancaw8t4sha****
ファイアウォール IP/ENI: 10.10.10.46-eni-2ze0if806m1f08w5****
ルートテーブル: vtb-2zekhldj6y24xm6vi****
送信先 CIDR ブロック: 10.10.11.0/24
ピア VPC:
リージョン: 中国 (北京)
VPC: vpc-2ze3rb2rf1rqo3peo****
ファイアウォール IP/ENI: 10.10.11.116-eni-2ze24sw34yq9n8ae****
ルートテーブル: vtb-2zestg1kxe9it54yu****
送信先 CIDR ブロック: 10.10.10.0/24
侵入防止
Cloud Firewall には、侵入防止 (IPS) 用の組み込み型脅威検知エンジンが備わっており、ノースサウス(インターネット)およびイーストウエスト(VPC 間)トラフィックを検査して、ネットワーク侵入をリアルタイムでブロックします。
IPS モード: ブロック - 緩い。
IPS ポリシー: 基本ルールおよび仮想パッチ適用。
VPC ファイアウォールの有効化
有効化すると、VPC ファイアウォールは作成後に自動的にアクティブになります。デフォルトでは無効です。
このオプションを有効化します。
ステップ 5:アクセス制御ポリシーの構成
VPC ファイアウォールは、2 つの VPC 間のトラフィックを検査します。デフォルトでは、ファイアウォールはすべてのトラフィックを許可します。VPC 内の資産に対してきめ細かい制御を適用するには、アクセス制御ポリシーを作成できます。本ユースケースでは、アカウント A 内にあるインスタンス BJ-VPC1-ECS1 からインスタンス BJ-VPC2-ECS2 へのアクセスをブロックする必要があります。
アカウント A で Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。[Policy Configuration] ページで、[VPC 境界] タブをクリックします。
[VPC 境界] タブで、[ポリシーの作成] をクリックします。
[ポリシーの作成 - VPC 境界] パネルで、次のパラメーターを構成します。
パラメーター
説明
例
ソースタイプ
トラフィックソースのタイプです。
IP
ソース
トラフィックの送信元アドレスです。
10.33.33.17/32
送信先タイプ
トラフィック送信先のタイプです。
IP
送信先
トラフィックの送信先アドレスです。
10.66.66.94/32
プロトコル
トランスポート層プロトコルです。
TCP
ポートタイプ
指定するポートのタイプです。
ポート
ポート
許可またはブロックするポートです。[ポートタイプ] に応じて、ポートを手動で入力するか、[選択] をクリックして事前構成済みの [ポートアドレス帳] を選択できます。
80
アプリケーション
アプリケーションタイプです。
ANY
操作
ポリシーに一致するトラフィックに対して実行する操作です。
拒否
説明
ポリシーの目的を識別しやすくするために、説明を入力します。
マルチアカウント管理用の拒否ポリシー
優先度
ポリシーの優先度です。デフォルトの優先度は [最低] です。
最低
[OK] をクリックします。
ステップ 6:トラフィックログおよび侵入防止イベントの表示
構成を検証するために、トラフィックログおよび侵入防止イベントを表示できます。ビジネス要件に沿わない予期しないトラフィックが見つかった場合は、アクセス制御ポリシーまたは保護設定を調整できます。詳細については、「VPC アクセス」をご参照ください。
VPC のトラフィックログの表示
アカウント A で Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ログ監査] ページで、[トラフィックログ] タブ、次に [VPC 境界] タブをクリックします。
[VPC 境界] タブで、アカウント A および B の VPC 間のトラフィックをクエリします。
BJ-VPC2-ECS2 から BJ-VPC1-ECS1 への正常なアクセスのトラフィックログをクエリするには、[送信元 IP] を 10.66.66.94(BJ-VPC2-ECS2)、[送信先 IP] を 10.33.33.17(BJ-VPC1-ECS1)に設定します。
正常なアクセスは、アカウント A の 2 つの VPC 間のトラフィックが Cloud Firewall を介して正しくルーティングされていることを示します。
BJ-VPC3-ECS3 から BJ-VPC4-ECS4 への正常なアクセスのトラフィックログをクエリするには、[送信元 IP] を 10.10.10.44(BJ-VPC3-ECS3)、[送信先 IP] を 10.10.11.115(BJ-VPC4-ECS4)に設定します。
正常なアクセスは、アカウント B の 2 つの VPC 間のトラフィックも Cloud Firewall を介して正しくルーティングされていることを示します。
[VPC 境界] タブで、[送信元 IP] を 10.33.33.17(BJ-VPC1-ECS1)、[送信先 IP] を 10.66.66.94(BJ-VPC2-ECS2)に設定して、ブロックされたトラフィックをクエリします。
ログには、BJ-VPC1-ECS1 から BJ-VPC2-ECS2 へのトラフィックがブロックされていることが表示され、アクセス制御ポリシーが有効であることが確認できます。
VPC 保護の侵入防止イベントの表示
アカウント A で Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
[侵入防止] ページで、[VPC 保護] タブをクリックし、クエリ条件を設定して侵入イベントを検索します。
検出された侵入イベントは、Cloud Firewall がアカウント A の BJ-VPC1-ECS1 と BJ-VPC2-ECS2 間の通信を正常に監視し、資産を侵入から保護していることを示します。
説明BJ-VPC1-ECS1 から BJ-VPC2-ECS2 へのトラフィックは、前述のアクセス制御ポリシーによってブロックされているため、ここには表示されません。侵入防止エンジンには到達しません。
[詳細] をクリックして、[基本情報] パネルで特定の攻撃イベントの詳細を表示します。