仮想プライベートクラウド (VPC)、仮想ボーダールーター (VBR)、またはクラウド相互接続ネットワーク (CCN) などのネットワークリソースが、Basic Edition トランジットルーターを使用する Cloud Enterprise Network (CEN) インスタンスを介して接続されている場合、VPC ファイアウォールを活用してこれらのリソース間のトラフィックを保護し、資産のセキュリティを確保できます。本トピックでは、Basic Edition トランジットルーター向けに VPC ファイアウォールを設定する手順について説明します。
機能概要
仕組み
VPC ファイアウォールを有効化すると、Cloud Firewall は VPC 間のトラフィックをインターセプトおよびフィルタリングします。ディープパケットインスペクション (DPI)、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、アクセス制御ポリシーなどのセキュリティ対策を適用し、トラフィックの許可またはブロックを判断します。これにより、不正なアクセスが遮断され、プライベートネットワーク内の資産間のトラフィックが保護されます。
以下の図は、Basic Edition トランジットルーター構成における VPC ファイアウォールによるトラフィック保護の例を示しています。
保護範囲の詳細については、「Cloud Firewall とは?」をご参照ください。
潜在的な影響
VPC ファイアウォールを作成する際、現在のネットワークトポロジーを変更する必要はありません。VPC ファイアウォールを作成し、自動転送を設定することで、サービスへの影響を及ぼさずに資産を保護できます。作成処理には約 5 分かかります。ピーク時を避けて実行することを推奨します。
VPC ファイアウォールの有効化または無効化には、ルートエントリー数に応じて 5~30 分かかります。この処理中、長時間接続されたセッションでは数秒間の一時的な切断が発生する可能性があります。短時間接続されたセッションには影響ありません。
VPC ファイアウォールを有効化する前に、アプリケーションが TCP 自動再送信メカニズムを備えていることを確認してください。また、操作中にアプリケーションの接続状態を監視し、再送信メカニズムの欠如による切断を防止してください。
制限事項
制限事項 | 説明 | 解決策 |
VPC の制限 | VPC ファイアウォールを有効化すると、「Cloud_Firewall_VPC」という名前の VPC インスタンスが自動的に作成されます。アカウントの VPC クォータに余裕があることを確認してください。VPC のクォータに関する詳細は、「使用制限とクォータ」をご参照ください。 たとえば、リージョンごとに作成可能な VPC のデフォルトクォータは 10 です。VPC ファイアウォールを有効化すると、1 つの VPC が自動的に作成されるため、残りで作成可能な VPC は最大 9 個となります。 | クォータに達している場合は、VPC クォータの増量が必要です。詳細については、「VPC クォータの管理」をご参照ください。 |
Basic Edition トランジットルーターに接続可能なネットワークリソース(VPC、VBR、CCN を含む)の数が、各リージョンでクォータを超えないようにしてください。VPC の数には、VPC ファイアウォールの有効化時に自動作成される「Cloud_Firewall_VPC」も含まれます。Basic Edition トランジットルーターのネットワークリソース制限の詳細については、「制限事項」をご参照ください。 たとえば、Basic Edition トランジットルーターがデフォルトで 10 個のネットワークリソースをサポートしている場合、VPC ファイアウォールの有効化によって 1 つの VPC が自動作成されるため、追加で接続可能なネットワークリソースは最大 9 個となります。 | Enterprise Edition トランジットルーターのご利用を推奨します。お手伝いが必要な場合は、. | |
CEN インスタンスは、同一リージョン内で最大 31 個の VPC を保護できます。 | 該当なし | |
ルーティングの制限 | CEN インスタンスには、ポリシー動作が 拒否に設定されたルーティングポリシーを含めることはできません。ただし、CEN が自動生成する優先度 5000 のデフォルト拒否ルーティングポリシーは例外です。それ以外の場合、サービスが中断される可能性があります。 | 関連するルーティングポリシーを削除することを推奨します。お手伝いが必要な場合は、. |
VPC ファイアウォールを有効化すると、Cloud Firewall は自動的に VPC のルートテーブルにカスタムルートエントリーを追加します。1 つの VPC ルートテーブルでは、最大 200 個のカスタムルートエントリーをサポートします。VPC のルートテーブル内のカスタムルートエントリー数が上限に達した場合、VPC ファイアウォールを有効化できません。 | カスタムルートエントリーのクォータを増量してください。 アカウント内の VPC ルートテーブルのカスタムルートエントリークォータを増量する必要があります。詳細については、「クォータの管理」をご参照ください。 | |
CEN インスタンス内のルートエントリー数がクォータを超えないようにしてください。この数には、VPC ファイアウォールの有効化時に自動追加されるルートエントリーも含まれます。CEN インスタンスでサポートされるルートエントリー数の詳細については、「制限事項」をご参照ください。 | 公開ルートエントリー数を 100 件以内に抑えることを推奨します。必要に応じて、. | |
VPC が vSwitch にバインドされたカスタムルートテーブルを持つ場合、VPC ファイアウォールを有効化できません。 | カスタムルートテーブルを削除するか、vSwitch からカスタムルートテーブルのバインドを解除してください。 | |
トラフィック種別の制限 |
| 該当なし |
その他の制限 | 2021 年 5 月 1 日より前に VPC ファイアウォールを有効化しており、かつパブリック CIDR ブロック(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 以外)をプライベートとして使用している場合、または /32 IP アドレス範囲からの双方向トラフィックを自動転送している場合、サービスに影響が出る可能性があります:
説明 この制限は、2021 年 5 月 1 日以降に VPC ファイアウォールを有効化したユーザーには適用されません。 | ネットワーク設計を標準に従って行い、CEN インスタンス内でパブリック CIDR ブロックをプライベートとして使用したり、/32 IP アドレス範囲からのトラフィックを自動転送したりしないよう推奨します。 特別なビジネス要件がある場合は、. |
VPC ファイアウォールの有効化または無効化時に、Server Load Balancer (SLB) や ApsaraDB for RDS などの一部のクラウドサービスへの確立済みの長時間接続が切断される場合があります。 |
|
VPC ファイアウォールの作成および有効化
前提条件
Cloud Firewall の Enterprise Edition、Ultimate Edition、または Pay-as-you-go Edition を購入済みである必要があります。詳細については、「Cloud Firewall の購入」をご参照ください。
説明Basic Edition トランジットルーター向け VPC ファイアウォールの設定は、Cloud Firewall の Enterprise Edition、Ultimate Edition、および Pay-as-you-go Edition のみがサポートしています。Premium Edition ではこの機能はサポートされていません。
Cloud Firewall がご利用のクラウドリソースにアクセスできるよう、必要な権限を付与済みである必要があります。詳細については、「Cloud Firewall によるクラウドリソースへのアクセス権限付与」をご参照ください。
CEN インスタンスを購入済みであり、VPC 間のネットワーク接続を確立するために使用している必要があります。詳細については、「同一リージョン内での VPC の接続(Basic Edition)」および「リージョンおよびアカウントを跨いだ VPC の接続(Basic Edition)」をご参照ください。
説明CEN インスタンス内の VPC が別の Alibaba Cloud アカウントで作成されており、当該アカウントが Cloud Firewall に必要な権限を付与していない場合、VPC ファイアウォールを作成できません。対応するアカウントで Cloud Firewall コンソールにログインし、権限を付与した後、VPC ファイアウォールを有効化することを推奨します。詳細については、「Cloud Firewall によるクラウドリソースへのアクセス権限付与」をご参照ください。
ネットワークリソースが配置されているリージョンが、VPC ファイアウォールでサポートされていることを確認してください。詳細については、「サポート対象リージョン」をご参照ください。
操作手順
VPC ファイアウォールを作成した後、作成された Cloud Firewall VPC 内の vSwitch やルートテーブルを変更すると、トラフィックの中断が発生する可能性があります。
CEN インスタンスに単一の VBR のみが存在する場合、VPC ファイアウォールの作成または有効化、あるいはネットワーク切り替えの実行により、トラフィックの中断が発生する可能性があります。
VPC ファイアウォールの有効化プロセスは、ロールバックまたは一時停止ができません。例外が発生した場合、システムが自動的にロールバックを実行します。
「Cloud Firewall コンソール」にログインします。左側ナビゲーションウィンドウで、Firewall をクリックします。
ファイアウォールスイッチ ページで、VPC 境界ファイアウォール をクリックします。
VPC 境界ファイアウォール タブで、Cloud Enterprise Network (Basic Edition) をクリックします。
VPC ファイアウォールを作成する CEN インスタンスを特定し、作成する を アクション 列からクリックします。
保護対象の資産が資産リストに表示されていない場合は、Synchronize Assets をクリックして、現在の Alibaba Cloud アカウントおよびそのメンバーアカウントの資産情報を同期してください。
Create Firewall パネルで、構成ウィザードに従って VPC ファイアウォールの設定を完了します。
Basic Edition トランジットルーターの場合、ファイアウォール作成条件を満たすかどうかを診断チェックで検証できます。Enable Diagnosis ウィザードで結果を確認できます。ファイアウォール作成要件に精通している場合は、診断チェックをスキップして直接ファイアウォールを作成することもできます。
以下の表は、CEN 接続環境における VPC ファイアウォールの構成項目を示しています。
パラメーター
説明
基本情報
名前:VPC ファイアウォールインスタンスを識別する一意の名前を指定します。業務要件に基づいた意味のある名前を付けることを推奨します。
ファイアウォール VPC の設定
自動作成される Cloud Firewall VPC および vSwitch に CIDR ブロックを割り当てます。これらは、トラフィックの自動転送専用のファイアウォール VPC(Cloud_Firewall_VPC)を作成するために使用されます。サブネット CIDR ブロックは、割り当てられた VPC CIDR ブロックから Cloud Firewall VPC の vSwitch 用に割り当てられます。サブネットのマスクは /29 以上(ネットマスク長が 29 以下)でなければならず、ご利用のネットワークプランと競合してはいけません。
重要これらの設定はサービス構成に依存し、作成後に変更できません。変更するには、ファイアウォールを削除して再作成する必要があります。
ファイアウォールで使用される VPC:デフォルト値は 10.0.0.0/8 です。ファイアウォール VPC の CIDR ブロックをカスタマイズできます。サポートされる範囲には、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 およびそのサブネットが含まれます。
vSwitch CIDR Block:デフォルト値は 10.219.219.216/29 です。デフォルト値がネットワークプランと競合する場合は、この CIDR ブロックをカスタマイズできます。
ゾーンの構成:
説明デフォルト (自動割り当て) をプライマリゾーンおよびセカンダリゾーンの両方に選択した場合、アクティブ/アクティブ構成が有効になります。この構成は設定が容易で、遅延の影響を受けないサービストラフィックのシナリオに最適です。
プライマリゾーンおよびセカンダリゾーン を明示的に指定した場合、プライマリセカンダリモードが使用されます。このモードは、サービストラフィックが遅延の影響を受けやすいシナリオに適しており、トラフィックの遅延を低減できます。
アクティブ/アクティブ構成およびプライマリセカンダリモードの詳細および移行手順については、「VPC ファイアウォールのゾーン移行に関するベストプラクティス」をご参照ください。
Primary Zone:vSwitch のプライマリ可用性ゾーンを設定します。Cloud Firewall は vSwitch の可用性ゾーンを自動的に割り当てる機能も提供しています。
重要サービスが遅延の影響を受けやすい場合は、プライマリゾーン をサービスの大部分がホストされている可用性ゾーンに設定することを推奨します。さらに、サービス VPC の vSwitch の可用性ゾーンを同じ可用性ゾーンに設定することで、遅延をさらに低減できます。
Secondary Zone:vSwitch のセカンダリ可用性ゾーンを設定します。VPC ファイアウォールは、効率的なトラフィック転送のために、優先的にプライマリゾーンを経由してトラフィックを転送します。プライマリゾーンが利用不可になった場合、システムは自動的にトラフィックをセカンダリゾーンに切り替えて、ディザスタリカバリ時の業務継続性を確保します。
業務用 VPC に必要な vSwitch を割り当ててください
トラフィック保護を必要とするサービス VPC 内の vSwitch を構成します。この vSwitch には、Cloud Firewall がトラフィックの自動転送に使用する弾力的ネットワークインターフェース(ENI)がホストされます。Cloud Firewall は vSwitch を自動的に割り当てることも可能です。サービスが遅延の影響を受けやすい場合は、サービス VPC の可用性ゾーンをカスタマイズしてネットワーク遅延を低減できます。
重要この設定はサービス構成に依存し、作成後に変更できません。変更するには、ファイアウォールを削除して再作成する必要があります。
Zone:サービス VPC の vSwitch の可用性ゾーンを選択します。遅延を低減するため、ファイアウォール VPC の vSwitch のプライマリ可用性ゾーンと同じ可用性ゾーンを設定することを推奨します。
vSwitch インスタンス:サービス VPC の vSwitch インスタンスを選択します。
リダイレクト設定
自動転送スイッチの有効化または無効化を行い、保護対象の CIDR ブロックを確認します。
侵入防御
侵入防止システム(IPS)モジュールの動作モードおよびポリシーを選択します。
IPSモード
Monitor Mode:悪意あるトラフィックを監視し、アラートを生成します。
Block Mode:悪意あるトラフィックをブロックし、侵入活動を遮断します。
IPS 保護機能
基本ルール:ブルートフォース攻撃やコマンド実行脆弱性のエクスプロイトなどに対する基本的な保護を提供し、感染後の Command and Control(C&C)サーバーへの接続を制御します。
仮想パッチ:人気の高い高リスクアプリケーション脆弱性に対するリアルタイム保護を提供します。
説明この設定は、同一の CEN インスタンスに属するすべてのネットワークリソースに適用されます。
作成を始める をクリックして VPC ファイアウォールを作成します。
Cloud Enterprise Network (Basic Edition) タブで、作成した VPC ファイアウォールのスイッチを有効化します。
VPC ファイアウォールは、ネットワークリソースを保護するために有効化する必要があります。ファイアウォールのステータス が 有効になりました に変更された場合、VPC ファイアウォールの有効化が正常に完了しています。
説明VPC ファイアウォールを有効化した後、VPC ルートエントリーを追加または削除した場合、Cloud Firewall が新しいルートを学習するには 15~30 分かかります。ルート学習が完了するまで待機し、ルートテーブルが更新されたことを確認することを推奨します。ご不明な点がある場合は、.
VPC ファイアウォールが作成されると、Cloud Firewall はご利用の仮想プライベートクラウド(VPC)内に以下のリソースを自動的に作成します:
Cloud_Firewall_VPCという名前の VPC リソース。重要Cloud_Firewall_VPC には他のサービスリソースを追加しないでください。追加した場合、VPC ファイアウォールを削除してもこれらのリソースは自動的に削除されません。Cloud_Firewall_VPC 内のネットワークリソースを手動で変更または削除しないでください。
Cloud_Firewall_VSWITCHという名前の vSwitch リソース。備考欄に「
Created by cloud firewall. Do not modify or delete it.」と記載されたカスタムルートテーブルエントリー。
VPC ファイアウォールを有効化すると、Cloud_Firewall_VPC およびサービス VPC の両方に「Cloud_Firewall_Security_Group」という名前のセキュリティグループが自動的に追加されます。また、このセキュリティグループには、VPC ファイアウォールへのトラフィックを許可する権限付与ポリシーも設定されます。
重要「Cloud_Firewall_Security_Group」セキュリティグループおよびその権限付与ポリシーを削除しないでください。いずれかを削除すると、サービストラフィックが中断されます。
バッチ操作を実行する場合、または頻繁に VPC ファイアウォールを有効化・無効化する場合は、サービスへの影響を避けるため、ピーク時を避けて実行することを推奨します。
次のステップ
VPC ファイアウォールを有効化した後、VPC 間のアクセスを制御するためのアクセス制御ポリシーを設定できます。詳細については、「VPC ファイアウォールのアクセス制御ポリシー」をご参照ください。
VPC ファイアウォールを有効化した後、VPC アクセス機能を使用して VPC 間のトラフィックを確認できます。詳細については、「VPC アクセス」をご参照ください。
VPC ファイアウォールを有効化した後、VPC 保護機能を使用して、Cloud Firewall によって遮断された VPC 間の異常イベントを確認できます。詳細については、「VPC 保護」をご参照ください。
その他の操作
VPC ファイアウォールの編集
VPC ファイアウォールの構成を変更するには、VPC 境界ファイアウォール ページで Cloud Enterprise Network (Basic Edition) タブに移動し、対象の CEN インスタンスを特定して、編集 を Actions 列からクリックします。
VPC ファイアウォールの無効化
VPC ファイアウォールを無効化すると、一時的なトラフィックの中断が発生する場合があります。
ファイアウォールスイッチ ページで、VPC 境界ファイアウォール をクリックします。
VPC 境界ファイアウォール ページで、Cloud Enterprise Network (Basic Edition) タブに移動し、対象の CEN インスタンスを特定して、ファイアウォールスイッチ スイッチをオフにします。
スイッチをオフにした後、しばらくお待ちください。ファイアウォールステータス が まだ有効化されていません に変更された場合、VPC ファイアウォールの無効化が正常に完了しています。
VPC ファイアウォールの削除
サービスで VPC ファイアウォールが不要になった場合、VPC 境界ファイアウォール ページで、Cloud Enterprise Network (Basic Edition) タブに移動し、対象の CEN インスタンスを特定して、Delete を Actions 列からクリックします。
IPS 構成の変更
IPS モードまたは機能を変更する場合、IP アドレスをホワイトリストに追加する場合、または IPS ルールを変更する場合は、ファイアウォールインスタンスの IPS の設定 を Actions 列からクリックします。その後、IPS の設定 ページの VPC ボーダー タブで設定を行います。詳細については、「IPS 設定」をご参照ください。