仮想プライベートクラウド (VPC) が VPC ピアリング接続または Express Connect 回線を使用して接続されている場合、VPC ファイアウォールを使用して VPC 間のトラフィックを保護できます。これにより、アセットのセキュリティを向上させることができます。このトピックでは、Express Connect 回線を使用して接続されている VPC の VPC ファイアウォールを構成する方法について説明します。
機能の説明
保護図
Cloud Firewall の保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。
影響
現在のネットワークトポロジを変更することなく、VPC ファイアウォールを直接作成してビジネスアセットを保護できます。作成時間は約 5 分で、ワークロードには影響しません。オフピーク時に VPC ファイアウォールを有効にすることをお勧めします。
VPC ファイアウォールの有効化または無効化には、約 5 ~ 30 分かかります。作成時間は、ルートの数によって異なります。永続的な TCP 接続は数秒間中断される場合があります。短時間の接続は影響を受けません。
VPC ファイアウォールを有効にする前に、アプリケーションが TCP 経由で自動的に再接続を開始するように構成されているかどうかを確認し、アプリケーションの接続状態に細心の注意を払うことをお勧めします。これは、接続の中断を防ぐのに役立ちます。
制限
項目 | 説明 | 推奨事項 |
トラフィックタイプ |
| なし。 |
ルートクォータ | Express Connect では、32 ビットのサブネットマスクを使用するルートをアドバタイズすることはできません。 32 ビットのサブネットマスクを使用するルートがアドバタイズされ、VPC ファイアウォールが有効になっている場合、サブネットマスクのネットワークへの接続は中断されます。 | VPC ファイアウォールを有効にする前に、サブネットマスク長を 30 ビット以下に変更することをお勧めします。また、DingTalk グループ 33081734 に参加して、Cloud Firewall に関するテクニカルサポートを受けることもできます。 |
VPC ファイアウォールを作成して有効にする
前提条件
Cloud Firewall Enterprise Edition、Cloud Firewall Ultimate Edition、または従量課金制の Cloud Firewall が購入済みであること。詳細については、「Cloud Firewall を購入する」をご参照ください。
説明Express Connect 回線を使用して接続された VPC の VPC ファイアウォールを作成できるのは、Cloud Firewall Enterprise Edition、Cloud Firewall Ultimate Edition、および従量課金制の Cloud Firewall のみです。変更を保存従量課金制の Cloud Firewall
Cloud Firewall が他のクラウドリソースにアクセスする権限を持っていること。詳細については、「Cloud Firewall に他のクラウドリソースへのアクセスを承認する」をご参照ください。
Express Connect 回線が購入済みであり、VPC が Express Connect 回線または VPC ピアリング接続を使用して接続されていること。詳細については、「プライベート通信に VPC ピアリング接続を使用する」をご参照ください。
ネットワークリソースが存在するリージョンで VPC ファイアウォール機能がサポートされていること。詳細については、「サポートされているリージョン」をご参照ください。
VPC ファイアウォールを作成した後に vSwitch とルートテーブルを変更すると、ビジネスが中断される可能性があります。
VPC ファイアウォールを有効にすると、操作をロールバックまたは一時停止することはできません。例外が発生した場合、システムは自動的に操作をロールバックします。
手順
Cloud Firewall コンソール にログインします。左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
VPC 境界ファイアウォール タブで、[Express Connect] タブをクリックします。
[アセットの同期] をクリックして、現在のアカウントとメンバーのアセットに関する情報を同期します。
このプロセスは、完了するまでに 1 ~ 2 分かかります。
VPC ファイアウォールを作成する Express Connect 回線を見つけ、作成する を [アクション] 列でクリックします。
多数の Express Connect 回線が存在する場合は、リージョンまたは VPC で回線を検索できます。
[VPC ファイアウォールの作成] パネルで、必須パラメーターを構成します。次の表にパラメーターを示します。
パラメーター
説明
[インスタンス名]
VPC ファイアウォールの名前。VPC ファイアウォールを識別しやすいように、一意の名前を入力することをお勧めします。
[接続タイプ]
VPC 間、または VPC とデータセンター間の接続のタイプ。この例では、値は [Express Connect] に固定されています。
[VPC]
VPC に関する情報。VPC のリージョンと ID を確認し、[ルートテーブル] パラメーターと [宛先 CIDR ブロック] パラメーターを構成します。
ルートテーブル
VPC を作成すると、システムはデフォルトの ルートテーブル を自動的に作成し、システムルートエントリーをルートテーブルに追加します。ビジネス要件に基づいて、1 つの VPC に複数のルートテーブルを作成できます。
Cloud Firewall コンソールで VPC ファイアウォールを作成すると、Cloud Firewall は VPC ルートテーブルを自動的に読み取ります。Express Connect は複数のルートテーブルをサポートしています。Express Connect 回線の VPC ファイアウォールを作成する場合、複数の VPC ルートテーブルを表示し、使用するルートテーブルを選択できます。
宛先 CIDR ブロック
[ルートテーブル] または [ピアルートテーブル] ドロップダウンリストからルートテーブルを選択すると、ルートテーブルのデフォルトの宛先 CIDR ブロックが [宛先 CIDR ブロック] または [ピア宛先 CIDR ブロック] セクションに表示されます。他の CIDR ブロック宛てのトラフィックを保護する場合は、宛先 CIDR ブロックを変更できます。複数の CIDR ブロックを追加できます。CIDR ブロックはコンマ (,) で区切ります。
重要VPC ファイアウォールを有効にした後、保護のために CIDR ブロックを追加する場合は、構成を手動で変更します。
[ピア VPC]
ピア VPC のリージョンと名前。情報を確認し、[ピアルートテーブル] パラメーターと [宛先 CIDR ブロック] パラメーターを構成します。
重要VPC ファイアウォールを有効にした後、保護のために CIDR ブロックを追加する場合は、構成を手動で変更します。
[侵入防御]
有効にする侵入防御ポリシー。有効な値:
[IPS モード]
[監視]: このモードを有効にすると、Cloud Firewall はトラフィックを監視し、悪意のあるトラフィックを検出したときにアラートを送信します。
[ブロック]: このモードを有効にすると、Cloud Firewall は悪意のあるトラフィックを遮断し、侵入試行をブロックします。
[IPS 機能]
[基本ルール]: 基本ポリシーは、ブルートフォース攻撃やコマンド実行の脆弱性を悪用した攻撃に対する保護など、基本的な侵入防御機能を提供します。また、基本ポリシーでは、侵害されたホストからコマンドアンドコントロール (C&C) サーバーへの接続を管理することもできます。
[仮想パッチ]: 仮想パッチを使用して、一般的な高リスクアプリケーションの脆弱性からリアルタイムで防御できます。
[VPC ファイアウォールを有効にする]
[VPC ファイアウォールを有効にする] をオンにすると、ファイアウォールの作成後に VPC ファイアウォールが自動的に有効になります。
[送信] をクリックします。表示されるメッセージで、[送信] をクリックします。
説明VPC ファイアウォールを有効にした後に VPC ルートテーブルにルートを追加または削除した場合は、Cloud Firewall がルートを学習するまで 15 ~ 30 分待ちます。Cloud Firewall がルートを学習した後、ルートテーブルが有効になっているかどうかを確認することをお勧めします。また、DingTalk グループ 33081734 に参加して Cloud Firewall に関するテクニカルサポートを受けることもできます。
VPC ファイアウォールを作成すると、Cloud Firewall は次のリソースを自動的に作成します。
Cloud_Firewall_VPCという名前の VPC。重要Cloud_Firewall_VPC にクラウドリソースを追加しないでください。追加すると、VPC ファイアウォールを削除するときにクラウドリソースを削除できなくなります。Cloud_Firewall_VPC 内のネットワークリソースを変更または削除しないでください。
Cloud_Firewall_VSWITCHという名前の vSwitch。次の注釈が付いたカスタムルートエントリー:
Created by cloud firewall. Do not modify or delete it(クラウドファイアウォールによって作成されました。変更または削除しないでください)。
VPC ファイアウォールを有効にすると、Elastic Compute Service (ECS) は Cloud_Firewall_Security_Group という名前のセキュリティグループを自動的に作成し、[アクション] パラメーターが [許可] に設定されたセキュリティグループルールをセキュリティグループに追加します。このルールにより、VPC ファイアウォールから ECS へのインバウンドトラフィックが許可されます。
重要Cloud_Firewall_Security_Group またはセキュリティグループルールを削除しないでください。削除すると、VPC ファイアウォールから ECS へのインバウンドトラフィックが VPC ファイアウォールによって保護されなくなります。
VPC ファイアウォールでバッチ操作を実行する場合、または VPC ファイアウォールを頻繁に有効または無効にする場合は、ビジネスへの影響を防ぐために、オフピーク時に操作を実行することをお勧めします。
[Express Connect] タブで、作成された VPC ファイアウォールを見つけて有効にします。
Cloud Firewall は、VPC ファイアウォールを有効にした後にのみ、ネットワークリソースを保護できます。VPC ファイアウォールの [ファイアウォールステータス] の値が [有効] に変わると、VPC ファイアウォールが有効になります。
その他の操作
VPC ファイアウォールを無効にする
VPC ファイアウォールを無効にすると、一時的な接続が発生する場合があります。
VPC ファイアウォールを無効にする場合は、[Express Connect] タブに移動し、VPC ファイアウォールを見つけて、[ファイアウォール設定] 列のスイッチをオフにします。
VPC ファイアウォールの [ファイアウォールステータス] の値が [無効] に変わると、VPC ファイアウォールが無効になります。
VPC ファイアウォールを削除する
VPC ファイアウォールを削除すると、一時的な接続が発生する場合があります。
VPC ファイアウォールが不要になった場合は、[Express Connect] タブに移動し、VPC ファイアウォールを見つけて、[アクション] 列の [削除] をクリックします。
VPC ファイアウォールを変更する
VPC ファイアウォールの構成を変更する場合は、[Express Connect] タブに移動し、VPC ファイアウォールを見つけて、[アクション] 列の [編集] をクリックします。
IPS 構成を変更する
VPC ファイアウォールの IPS 構成を変更する場合は、VPC ファイアウォールを見つけて、[アクション] 列の [IPS の構成] をクリックします。[IPS 構成] ページで、[VPC ボーダー] タブをクリックし、必要な操作を実行します。たとえば、IPS モードの変更、IPS 機能の構成の変更、IP アドレスホワイトリストにある特定の送信元または宛先 IP アドレスのトラフィックの許可、IPS 機能のポリシーの変更などを行うことができます。詳細については、「IPS 構成」をご参照ください。
次のステップ
VPC ファイアウォールを有効にした後、ファイアウォールのアクセス制御ポリシーを作成して、VPC 間のトラフィックを制御できます。
VPC ファイアウォールを有効にした後、VPC アクセス ページで VPC 間のトラフィックを表示できます。
VPC ファイアウォールを有効にした後、[侵入防御] ページの VPC 保護 タブで、VPC で検出された侵入イベントに関する情報を表示できます。