Cloud Firewall:VPC ピアリング接続用の VPC ファイアウォールの設定

保護トポロジー

保護範囲の詳細については、「Cloud Firewall とは」をご参照ください。

サービスへの影響

ネットワークトポロジーを変更することなく、VPC ファイアウォールを作成してアセットを保護できます。作成プロセスには約 5 分かかり、サービスに影響はありません。オフピーク時間帯に VPC ファイアウォールを有効にすることを推奨します。

VPC ファイアウォールの有効化または無効化には、ルートエントリの数に応じて 5〜30 分かかります。このプロセス中に、長時間接続では数秒間の短い切断が発生する可能性があります。短時間接続は影響を受けません。

前提条件

• Cloud Firewall の Enterprise Edition、Ultimate Edition、または Pay-As-You-Go Edition をアクティベートしていること。詳細については、「Cloud Firewall の購入」をご参照ください。

  説明

  VPC ファイアウォールは、Cloud Firewall の Enterprise Edition、Ultimate Edition、および Pay-As-You-Go Edition のみでサポートされています。Premium Edition はこの機能をサポートしていません。

• Cloud Firewall がクラウドリソースにアクセスすることを承認済みであること。詳細については、「Cloud Firewall のクラウドリソースへのアクセス承認」をご参照ください。

• VPC を接続するための VPC ピアリング接続インスタンスを作成済みであること。詳細については、「VPC ピアリング接続を使用した VPC の接続」をご参照ください。

• ネットワークリソースが VPC ファイアウォールをサポートするリージョンにデプロイされていること。詳細については、「サポートされているリージョン」をご参照ください。

操作手順

1. Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、Firewallをクリックします。

2. VPC 境界ファイアウォール タブで、Express Connect サブタブをクリックします。

3. Express Connect サブタブで、Synchronize Assets をクリックします。システムは、自アカウントとそのメンバーアカウントのアセットを同期します。

   このプロセスには 1〜2 分かかります。

4. 保護する VPC Peering Connection インスタンスを探し、作成する を Actions 列でクリックします。

   VPC ピアリング接続インスタンスが多数ある場合は、リージョンまたは VPC インスタンスでリストをフィルターできます。

5. VPC ファイアウォールの作成 ダイアログボックスで、パラメーターを設定します。

   パラメーター	説明
   インスタンス名	簡単に識別できるよう、わかりやすい名前を使用します。
   接続方式	このフィールドは自動的に VPC ピアリング接続 に設定され、変更できません。
   VPC	VPC リージョンとインスタンスを確認し、ルーティングテーブル を選択して保護対象とし、その後 Destination CIDR Block を入力します。 ルートテーブル VPC を作成すると、システムルートを追加してトラフィックを管理するためのデフォルトのルートテーブルが自動的に作成されます。必要に応じて、複数のルートテーブルを作成できます。詳細については、「ルートテーブルの概要」をご参照ください。 Cloud Firewall コンソールでは、VPC ルートテーブル情報が自動的に読み取られます。VPC ピアリング接続は複数のルートテーブルをサポートしています。保護したい特定のルートテーブルを表示して選択できます。 宛先 CIDR ブロック ルートテーブルを選択すると、そのデフォルトの宛先 CIDR ブロックが自動的に表示されます。宛先 CIDR ブロックを手動で変更して、他のネットワークセグメントを保護できます。複数の CIDR ブロックをカンマ (,) で区切って追加できます。 重要 VPC ファイアウォールを有効にした後、保護対象の CIDR ブロックを追加するには、手動で設定を編集する必要があります。
   ピア VPC	ピア VPC のリージョンとインスタンスを確認し、保護する ルーティングテーブル を選択して、次に Destination CIDR Block を入力します。 重要 VPC ファイアウォールを有効にした後、保護対象の CIDR ブロックを追加するには、手動で設定を編集する必要があります。
   IPS	不正侵入防御システム (IPS) ポリシーを選択します。 IPS モード 監視モード：悪意のあるトラフィックをブロックせずに識別し、ログに記録します。 ブロックモード：悪意のあるトラフィックをブロックして侵入を防ぎます。3つの厳格度レベルが利用可能です。 ブロックモード - 緩い ブロックモード - 中程度 ブロックモード - 厳格 IPS 保護機能 基本ルール：ブルートフォース攻撃、コマンド実行の脆弱性、コマンド＆コントロール (C&C) サーバーのコールバックなどの脅威に対する基本的な保護を提供します。 仮想パッチ：リスクの高いアプリケーションの脆弱性に対してリアルタイムで防御します。
   VPC ファイアウォールを有効にする	このオプションを有効にすると、VPC ファイアウォールが作成された後、自動的にアクティブになります。

6. Submit をクリックし、操作を確認します。

   説明

   VPC ファイアウォールを有効にした後、VPC ルートテーブル情報を追加または削除した場合、Cloud Firewall がルートを学習するのに 15〜30 分かかることがあります。ルート学習プロセスが完了するのを待ってから、ルートテーブルが有効であることを確認することを推奨します。ご不明な点がある場合は、して製品技術エキスパートにご相談ください。

   VPC ファイアウォールを作成すると、Cloud Firewall は関連付けられた VPC に以下のリソースを自動的に作成します。

   次の備考を持つカスタムルートテーブルエントリ：Created by cloud firewall. Do not modify or delete it.

   VPC Firewall を有効にすると、システムは Cloud_Firewall_Security_Group という名前のセキュリティグループを自動的に作成し、VPC Firewall へのトラフィックを許可するように [承認ポリシー] を設定します。

   重要

   Cloud_Firewall_Security_Group セキュリティグループまたはその権限付与ポリシーを削除しないでください。削除すると、トラフィックが VPC ファイアウォールにリダイレクトされなくなります。

   サービスの中断を防ぐため、バッチ操作や VPC ファイアウォールの頻繁な有効化・無効化はオフピーク時間帯にのみ行ってください。

7. Express Connect サブタブで、作成した VPC ファイアウォールのスイッチをオンにします。

   Cloud Firewall は、VPC Firewall が有効になっている場合にのみ、ネットワークリソースを保護できます。VPC Firewall は、ファイアウォールのステータス が 有効になりました に変更されたときに有効になります。

VPC ファイアウォールの無効化

VPC ファイアウォールを無効にする必要がある場合は、Express Connect サブタブに移動し、対象のファイアウォールインスタンスを見つけて、その ファイアウォールスイッチ をオフにしてください。

VPC ファイアウォールは、ファイアウォールのステータス が まだ有効化されていません に変更されると無効になります。