ECS ファイアウォールを使用すると、ECS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御し、不正なアクセスを防止できます。アクセス制御ポリシーを公開すると、Cloud Firewall が自動的に対応する ECS セキュリティグループにそのポリシーを同期し、適用します。本トピックでは、ECS ファイアウォール向けのアクセス制御ポリシーの構成手順について説明します。
ECS ファイアウォールの仕組み
ECS ファイアウォールのアクセス制御ポリシーのメリット
ECS コンソールでセキュリティグループルールを作成する方法と比較して、Cloud Firewall でアクセス制御ポリシーを定義すると、以下のメリットがあります:
ポリシーを一括で公開できます。
アプリケーショングループと併用することで、セキュリティグループを自動的に作成できます。
ECS インスタンスのリージョンを切り替えることなく、Cloud Firewall コンソールからポリシーを一元管理できます。
デフォルトでは、最大 500 個のポリシーグループを作成でき、各ポリシーグループには最大 500 個のポリシーを含めることができます。この上限は、ECS ファイアウォールで作成したポリシーおよび ECS セキュリティグループから同期されたポリシーを含みます。現在の上限が不足している場合は、不要なポリシーを削除してください。あるいは、VPC 境界向けのアクセス制御ポリシーを構成することで、必要な ECS ファイアウォールポリシーの数を削減できます。
ポリシーグループのタイプ
ポリシーグループには、「標準ポリシーグループ」と「エンタープライズポリシーグループ」の 2 種類があります。
ユースケース
標準ポリシーグループは、ECS の標準セキュリティグループに対応します。これは、クラウド上でセキュリティドメインを構築するためのステートフルパケット検査機能を備えた仮想ファイアウォールです。ポリシーグループを構成して、グループ内の ECS インスタンスに対するインバウンドおよびアウトバウンドトラフィックを許可または拒否できます。ネットワーク制御の精度が高く、接続数が中程度であるシナリオに最適です。
エンタープライズポリシーグループは、ECS のエンタープライズセキュリティグループに対応します。これは、標準ポリシーグループよりも大幅に多くのインスタンスをサポートする新しいタイプのポリシーグループです。グループ内のプライベート IP アドレス数に制限がなく、ルールの設定が簡素化され、メンテナンスが容易になります。大規模なデプロイメントと高い運用効率を求めるエンタープライズユーザーに最適です。
比較
標準セキュリティグループとエンタープライズセキュリティグループの詳細な比較については、「標準セキュリティグループとエンタープライズセキュリティグループ」をご参照ください。
前提条件
Cloud Firewall Enterprise Edition または Ultimate エディションを有効化しました。詳細については、「Cloud Firewall の購入」をご参照ください。
ECS ファイアウォールのアクセスポリシーの構成
ECS ファイアウォール向けのアクセス制御ポリシーを構成するには、まずデフォルトポリシーを含むポリシーグループを作成します。その後、そのグループ内でインバウンドまたはアウトバウンドのアクセス制御ポリシーを構成します。ポリシーグループおよびそのポリシーの構成が完了したら、ポリシーグループを公開して、関連付けられた ECS セキュリティグループにポリシーを同期させ、適用します。
ステップ 1:ポリシーグループの作成
まず、Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。Security Group Configurationタブで、Create Policy Groupをクリックします。
Create Policy Groupダイアログボックスで、ポリシーグループのパラメーターを設定し、Confirmをクリックします。
パラメーター
説明
Policy Group Type
ポリシーグループのタイプを選択します:
Common Policy Group
Enterprise Policy Group
Policy Group Name
ポリシーグループの名前を入力します。
識別および管理が容易になるよう、意味のある名前を付けることを推奨します。
VPC
ポリシーグループを適用する VPC を選択します。各ポリシーグループは、1 つの VPC にのみ関連付けられます。
Instance ID
Instance IDのドロップダウンリストから、ポリシーグループを適用する 1 つ以上の ECS インスタンスを選択します。
説明リストには、選択したVPC内の ECS インスタンスのみが表示されます。
Description
ポリシーグループの簡単な説明を入力します。
Template
Templateのドロップダウンリストから、適用するテンプレートを選択します:
default-accept-login:TCP ポート 22 および TCP ポート 3389 へのインバウンドトラフィックを許可し、すべてのアウトバウンドトラフィックを許可します。
default-accept-all:すべてのインバウンドおよびアウトバウンドトラフィックを許可します。
default-drop-all:すべてのインバウンドおよびアウトバウンドトラフィックを拒否します。
説明default-drop-all オプションは、エンタープライズポリシーグループではサポートされていません。
ステップ 2:ポリシーの構成
Security Group Configurationページで、管理対象のポリシーグループを見つけ、ポリシーの構成をクリックします(Actions列)。
インバウンドまたはアウトバンドタブで、Create Policyをクリックします。
Create Policyダイアログボックスで、ポリシーのパラメーターを設定し、Submitをクリックします。
パラメーター
説明
NIC タイプ
デフォルトはイントラネットであり、ECS インスタンスのインバウンドおよびアウトバウンドトラフィックに適用されます。
ポリシー方向性
ポリシーのトラフィック方向を選択します。
Inbound:ポリシーグループに関連付けられた ECS インスタンスへ、他の ECS インスタンスから送信されるトラフィックを制御します。
Outbound:ポリシーグループ内の ECS インスタンスから、他の ECS インスタンスへ送信されるトラフィックを制御します。
ポリシータイプ
ポリシーのアクションを選択します。
Allow:該当するトラフィックを許可します。
Deny:データパケットを破棄し、応答を送信しません。2 つのポリシーの設定が同一でもアクションが異なる場合、DenyポリシーがAllowポリシーを上書きします。
説明Denyオプションは、エンタープライズポリシーグループではサポートされていません。
プロトコルタイプ
トラフィックのプロトコルの種類を選択します。
プロトコルの種類が不明な場合は、ANY を選択します。
ポート範囲
トラフィックで使用されるポート範囲を入力します。
ポート範囲(例:1 ~ 200 の全ポート)を指定するには、「1/200」と入力します。単一ポート(例:ポート 80)を指定するには、「80/80」と入力します。
優先度
ポリシーの優先度です。1 ~ 100 の整数を入力します。値が小さいほど優先度が高くなります。
複数のポリシーで同じ優先度を設定できます。優先度が同一の場合、Denyポリシーが優先されます。
ソースタイプ、ソースオブジェクト
トラフィックの送信元を指定します。これはInboundポリシーで必須です。送信元タイプを選択し、送信元オブジェクトを設定します。
CIDR Block
このタイプを選択した場合、ソースオブジェクトフィールドに送信元アドレス範囲を手動で入力する必要があります。アドレス範囲は 1 つだけ設定可能です。
Policy Group
このタイプを選択した場合、ソースオブジェクトリストからポリシーグループを選択する必要があります。これにより、選択した送信元ポリシーグループ内のすべての ECS インスタンスからのトラフィックが制御されます。
説明Policy Groupオプションは、エンタープライズポリシーグループではサポートされていません。
プレフィックスリスト
このタイプを選択した場合、ソースオブジェクトリストからプレフィックスリストを選択する必要があります。Cloud Firewall は、指定されたプレフィックスリスト内の IP アドレスから ECS インスタンスへのアクセストラフィックを制御します。プレフィックスリストの詳細については、「プレフィックスリストおよびポートリストを活用したセキュリティグループルールの効率的な管理」をご参照ください。
ターゲット選択
トラフィックの送信先を選択します。これは、InboundがInboundに設定されている場合に必須です。利用可能な送信先タイプは以下のとおりです:
All ECS Instances:現在のポリシーグループに関連付けられたすべての ECS インスタンス。
CIDR Block:現在のポリシーグループに関連付けられた ECS インスタンスの IP アドレスを CIDR 表記で入力します。これにより、指定された ECS インスタンスに対するインバウンドトラフィックのみが制御されます。
ソース選択
送信元タイプを選択します。これは、OutboundがOutboundに設定されている場合に必須です。利用可能な送信元タイプは以下のとおりです:
All ECS Instances:現在のポリシーグループに関連付けられたすべての ECS インスタンス。
CIDR Block:このタイプを選択した場合、送信元 IP アドレスまたは CIDR ブロックを入力する必要があります。これは、現在のポリシーグループ内の ECS インスタンスのうち、指定されたアドレスに一致するものを表します。
Destination Type、ターゲットオブジェクト
送信先タイプを選択し、それに応じて送信先オブジェクトを設定します。このパラメーターは、Outbound が Outbound に設定されている場合に必須です。
利用可能な送信先タイプは以下のとおりです:
CIDR Block
このタイプを選択した場合、宛先 CIDR ブロックを入力する必要があります。1 つの CIDR ブロックのみがサポートされます。
Policy Group
このタイプを選択した場合、リストからポリシーグループを選択する必要があります。これにより、選択した宛先ポリシーグループ内のすべての ECS インスタンスへのトラフィックが制御されます。
説明Policy Groupオプションは、エンタープライズポリシーグループではサポートされていません。
プレフィックスリスト
このタイプを選択した場合、プレフィックスリストを選択する必要があります。これにより、プレフィックスリストに関連付けられたセキュリティグループ内のすべての ECS インスタンスへのトラフィックが制御されます。プレフィックスリストの詳細については、「プレフィックスリストおよびポートリストを活用したセキュリティグループルールの効率的な管理」をご参照ください。
記述
ポリシーの説明を入力します。
ポリシーグループが作成された後、ECS ファイアウォールのポリシーグループ一覧で新しく作成されたポリシーグループを確認できます。
ステップ 3:ポリシーの公開
まず、Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。Security Group Configurationタブで、公開対象のポリシーグループを見つけ、Publish Policyをクリックします(Actions列)。
Publish Policyダイアログボックスで、Update Remarksを指定し、Update Policyの下で変更内容を確認し、OKをクリックします。
ポリシーグループを公開しないと、ポリシーは有効になりません。ECS コンソールのSecurity Groupページでは、Cloud Firewall からセキュリティグループに同期されたアクセス制御ポリシーを確認できます。Cloud Firewall によって作成されたセキュリティグループは、デフォルトでCloud_Firewall_Security_Groupという名前になります。
ECS セキュリティグループからのポリシーの同期
手動同期: Security Group Configurationページで、Synchronize Security Groupをクリックして、ECS セキュリティグループのポリシーを Cloud Firewall に取り込みます。同期処理には 2 ~ 3 分かかります。
自動同期: Cloud Firewall は、ECS セキュリティグループのポリシーを 2 時間ごとに自動的に同期します。
関連操作
ECS ファイアウォールのポリシーグループ一覧で実行できる操作は以下のとおりです:
Edit:ポリシーグループの ECS インスタンスおよび説明を変更します。
Delete:ポリシーグループを削除します。
警告ポリシーグループを削除すると、そのポリシーは永久に無効化されます。この操作は元に戻すことができません。削除されたポリシーグループは一覧に残りますが、今後は管理できません。
不要になったポリシーグループを整理するには、ソースをCustomに設定して一覧をフィルターできます。これにより、Cloud Firewall コンソールで手動作成されたすべてのポリシーグループが表示され、保持するかどうかを判断できます。