企業が数百または数千のアクセス制御ポリシーを構成し、ポリシーがますます複雑になる場合、企業のセキュリティ管理者は、問題のトラブルシューティングに関連する大きな課題に直面する。 Cloud Firewallにはアクセス制御ポリシー分析機能があり、企業用に構成されたアクセス制御ポリシーをタイムリーかつ効率的に自動的に分析します。 このトピックでは、アクセス制御ポリシー分析機能の使用方法について説明します。
メリット
アクセス制御ポリシー分析機能は、仕様消費を削減し、コストを削減し、ポリシーの安定性を向上させるために、最も早い機会に無効、冗長、重複、および個別のポリシーを検出できます。
アクセス制御ポリシー分析機能は、脆弱なポートまたはデフォルトの非拒否ポリシーを最も早い機会に特定できます。 これにより、アクセス制御ポリシーの設定が容易になり、セキュリティリスクが軽減されます。
アクセス制御ポリシー分析機能は、設定されたポリシーの有効性に影響を与える可能性のある項目を確認するのに役立ちます。 次のアイテムがサポートされています。
トラフィックヒットなしのポリシー
送信元と送信先が同じ無効なポリシー
重複または冗長ポリシー
ビジネスと矛盾する政策
すべてのホワイトリストを拒否するメカニズムを使用しないデフォルトのポリシー
リスクの高いポートを許可するリスクの高いポリシー
過度に寛大な政策
アクセス制御ポリシー分析のクォータ
異なるエディションのクォータ
アクセス制御ポリシー分析機能を無料で使用できます。 次の表に、各Cloud Firewallエディションの機能に提供されるデフォルトのクォータを示します。
従量課金方法を使用するクラウドファイアウォール: 2,000。 クォータを使用して、インターネットファイアウォール、仮想プライベートクラウド (VPC) ファイアウォール、NATファイアウォール用に作成されたアクセス制御ポリシーと、アドレス帳を参照するポリシーを分析できます。
プレミアム版: 3,000。 クォータを使用して、インターネットファイアウォールおよびNATファイアウォール用に作成されたアクセス制御ポリシーと、アドレス帳を参照するポリシーを分析できます。
エンタープライズ版: 5,000。 クォータを使用して、インターネットファイアウォール、VPCファイアウォール、およびNATファイアウォール用に作成されたアクセス制御ポリシーと、アドレス帳を参照するポリシーを分析できます。
究極の版: 10,000。 クォータを使用して、インターネットファイアウォール、VPCファイアウォール、およびNATファイアウォール用に作成されたアクセス制御ポリシーと、アドレス帳を参照するポリシーを分析できます。
クォータの計算方法
次の式を使用して、アクセス制御ポリシー分析で消費されるクォータを計算できます。
クォータ=(アクセス制御ポリシー数 + アドレス帳数) × チェック項目数
[IPアドレス帳の重複] 、[重複] 、または [分散] チェック項目は、Elastic Compute Service (ECS) タグベースのアドレス帳を参照するアクセス制御ポリシーをサポートしていません。
たとえば、タスクに10個のIPアドレス帳、5個のECSタグベースのアドレス帳、および [重複、重複、または分散IPアドレス帳] チェック項目が含まれている場合、タスクによって消費されるクォータは10 × 1 = 10です。
クォータ使用量の表示
Cloud Firewallは、アクセス制御ポリシー分析機能のクォータ使用量の統計を提供します。 これにより、現在のエディションのクォータ使用量を制御できます。
[ポリシー分析] ページでは、チェックされたポリシーの総数、アクセス制御ポリシー分析の残りのクォータ、未処理のリスクの数、さまざまな境界での未処理のリスクの分布など、さまざまな情報を表示できます。 これにより、ビジネスのポリシーに関連するリスクを特定し、ポリシーを修正することができます。
アクセス制御ポリシーの確認
Cloud Firewallを使用すると、インターネットファイアウォール、NATファイアウォール、およびVPCファイアウォール用に作成されたアクセス制御ポリシーと、アドレス帳を参照するアクセス制御ポリシーを確認できます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシー分析] ページで、必要なチェック項目を見つけ、[操作] 列の [チェック] をクリックします。
表示されたメッセージボックスで、[OK] をクリックします。
チェックが完了すると、チェック結果が [チェック項目の詳細] ページに表示されます。
ハンドルチェック結果
アクセス制御ポリシーを確認した後、確認結果に基づいてビジネス要件を満たさないポリシーを修正する必要があります。
チェック項目を見つけて、[操作] 列の [詳細] をクリックします。
[項目の詳細の確認] ページで、ポリシーの詳細を表示できます。
アクセス制御ポリシーがビジネス要件を満たしているかどうかを確認し、アクセス制御ポリシーを処理します。
アクセス制御ポリシーがビジネス要件を満たしている場合は、[無視] をクリックします。 アクセス制御ポリシーは、以降のチェックには含まれません。
アクセス制御ポリシーがビジネス要件を満たしていない場合は、Optimization Suggestionsパラメーターの値に基づいてアクセス制御ポリシーを修正します。 次に、[ハンドル] をクリックして、アクセス制御ポリシーを処理済みとしてマークします。
次のステップ
インターネットファイアウォールのアクセス制御ポリシーを構成または表示します。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
NATファイアウォールのアクセス制御ポリシーを設定または表示します。 詳細については、「NATファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
VPCファイアウォールのアクセス制御ポリシーを設定または表示します。 詳細については、「VPCファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
アドレス帳を設定するか、アドレス帳に関する情報を表示します。 詳細については、「アドレス帳の管理」をご参照ください。