すべてのプロダクト
Search

このプロダクト

    Cloud Network Well-architected Design Guidelines:DMZ の設計

    ドキュメントセンター

    Cloud Network Well-architected Design Guidelines:DMZ の設計

    最終更新日:Feb 03, 2026

    概要

    背景情報

    高いセキュリティと効率性をサポートするクラウドネットワークアーキテクチャを構築するには、非武装地帯 (DMZ) として機能する専用の Virtual Private Cloud (VPC) を作成し、内部ネットワーク (信頼済みゾーン) をインターネット (信頼できないゾーン) から分離します。DMZ VPC を使用すると、インターネットアクセスを制御できます。この設計は、高同時実行性トラフィックに耐え、インターネットへのアクセスを制御し、インターネット帯域幅の使用率を向上させることができるアプリケーションアクセスゲートウェイの構築に役立ちます。さらに、このアーキテクチャをセキュリティサービスと組み合わせることで、内部ネットワークの保護を強化し、クラウドサービスを攻撃から保護できます。このトピックでは、DMZ VPC の設計原則と要点について説明し、クラウドインフラストラクチャを最適化し、そのセキュリティと高可用性を向上させるための完全な設計ソリューションとベストプラクティスを提供します。

    用語

    • VPC:VPC は、Alibaba Cloud 上に作成できるカスタムプライベートネットワークです。VPC はレイヤー 2 で論理的に相互に分離されています。VPC 内で Elastic Compute Service (ECS)、Server Load Balancer (SLB)、ApsaraDB RDS などのクラウドサービスインスタンスを作成および管理できます。

    • トランジットルーター:トランジットルーターは、複数のネットワーク通信およびルート管理機能を提供します。たとえば、トランジットルーターを使用して、ネットワークインスタンスの接続、カスタムルートテーブルの作成、ルートの追加、ルーティングポリシーの追加などを行うことができます。

    • Application Load Balancer (ALB):ALB は、アプリケーション層で動作する Alibaba Cloud サービスであり、HTTP、HTTPS、および Quick UDP Internet Connections (QUIC) 経由のトラフィックを負荷分散するために最適化されています。ALB は高い弾力性を持ち、オンデマンドで大量のレイヤー 7 トラフィックを処理できます。

    • Network Load Balancer (NLB):NLB は、Internet of Everything (IoE) 時代を対象としたレイヤー 4 のロードバランシングサービスです。NLB は超高性能を提供し、オンデマンドで自動的にスケーリングできます。NLB は、高い同時実行性を必要とするサービスに最適です。

    • Gateway Load Balancer (GWLB):GWLB は、IP リスナーに基づいてポートからサーバーグループ内のネットワーク仮想アプライアンス (NVA) にトラフィックを分散するレイヤー 3 のロードバランシングサービスです。GWLB は、高可用性の NVA をデプロイするのに最適です。

    • NAT Gateway:NAT Gateway は、アドレス変換を提供する Alibaba Cloud サービスです。NAT Gateway を使用してクラウドサービスのアドレスを隠すことで、ネットワークセキュリティを向上させることができます。

    • Elastic IP Address (EIP):EIP は、独立したリソースとして購入および保持できるパブリック IP アドレスです。EIP は、Alibaba Cloud のインターネット向けゲートウェイにプロビジョニングされた NAT IP アドレスであり、NAT を使用して関連付けられたクラウドリソースにマッピングされます。EIP がクラウドリソースに関連付けられると、クラウドリソースは EIP を使用してインターネットと通信できます。

    • Internet Shared Bandwidth:Internet Shared Bandwidth は、リージョン内での帯域幅の共有と多重化をサポートします。リージョンで Internet Shared Bandwidth インスタンスを作成した後、そのリージョン内の EIP を Internet Shared Bandwidth インスタンスに追加できます。EIP は Internet Shared Bandwidth インスタンスを共有できます。これにより、インターネット帯域幅のコストが削減されます。

    • Network Intelligence Service (NIS):NIS は、ネットワークプランニングからネットワークの O&M まで、クラウドネットワークのライフサイクル全体を管理するための一連の AIOps ツールを提供します。たとえば、NIS を使用して、トラフィック分析、ネットワーク検査、ネットワークパフォーマンスモニタリング、ネットワーク診断、パス解析、トポロジー作成を実行できます。NIS は、ネットワークアーキテクチャの最適化、ネットワーク O&M 効率の向上、およびネットワーク運用コストの削減に役立ちます。

    設計原則

    DMZ を設計する際は、ネットワークアーキテクチャを SLB、NAT Gateway、Cloud Enterprise Network (CEN)、トランジットルーター、Internet Shared Bandwidth、EIP、およびセキュリティサービスと組み合わせて、データセキュリティ、アプリケーションセキュリティ、およびアプリケーションの信頼性を維持しながら、ネットワークの柔軟性とスケーラビリティを向上させることを推奨します。DMZ を設計する際は、以下の主要な原則に従ってください:

    安定性:DMZ は内部ネットワークをインターネットから分離するだけでなく、サービスの可用性と継続性も決定します。したがって、安定した DMZ を設計する必要があります。

    高性能と高効率ビジネスで大きなトラフィック変動が発生する場合、DMZ はリソースを動的にスケーリングして、ピーク時には十分なリソースをスケールアウトし、オフピーク時にはリソースをスケールインできる必要があります。これにより、リソース使用率が向上します。

    セキュリティコンプライアンス:DMZ は外部のリスクをブロックし、企業が金融などの業界のセキュリティコンプライアンス要件を満たすのに役立つ必要があります。したがって、攻撃防御と侵入検知のメカニズムも設計する必要があります。

    最小権限の原則 (PoLP)システムセキュリティを強化するために、システムコンポーネントには最小限のリソースへのアクセスと操作のみを許可します。

    主要な設計

    安定性

    アーキテクチャの安定性を向上させるために、NLB または ALB インスタンス、トランジットルーター、または NAT Gateway を作成する際には、少なくとも 2 つのゾーンを選択することを推奨します。バックエンドサーバーを異なるゾーンの異なる vSwitch にデプロイして、ゾーンディザスタリカバリを実装します。

    セキュリティ

    • 基本的な保護:

      • ALB および NLB インスタンスをセキュリティグループに追加して、外部サービスに対するアクセス制御を実装します。

      • NAT Gateway の SNAT 機能を有効にし、ビジネス要件に基づいてバックエンドサーバーのインターネットアクセスを制御することを推奨します。これにより、潜在的なセキュリティリスクが軽減されます。

    • 高度な保護:

      • Anti-DDoS:Anti-DDoS Pro/Premium で保護された EIP を DMZ VPC 内の内部向け NLB または ALB インスタンスに関連付けて、Tbit/s レベルの DDoS 攻撃を軽減します。Anti-DDoS Pro/Premium で保護された EIP を使用する前に、Anti-DDoS Origin を有効にし、従量課金の課金方法を選択する必要があります。

      • Web Application Firewall:WAF 対応の ALB インスタンスを購入し、Web サービスを WAF 対応の ALB インスタンスに移行します。ALB は、透過プロキシモードでの WAF 2.0 との統合ではなく、サービス統合モードで WAF 3.0 と統合されます。リスニングと転送は WAF ではなく ALB によって実行されます。転送サービスとセキュリティサービスは相互に分離され、互換性とパフォーマンスの安定性が確保されます。

      • インターネットファイアウォール:インターネットファイアウォールを有効にし、新しいアセットの自動保護をオンにします。インターネットファイアウォールは、Alibaba Cloud アカウントに新しく追加されたパブリック IP アドレスに対して自動的に有効になります。

      • サードパーティ製ファイアウォール:GWLB と組み合わせて、Palo Alto Networks や Fortinet などのサードパーティ製ファイアウォールを設計します。

    パフォーマンス

    • EIP と Internet Shared Bandwidth を組み合わせることで、インバウンドおよびアウトバウンドのスループットを 100 Gbit/s に向上させることができ、より高いトラフィックの急増に耐えることができます。

    • 各 NAT Gateway は、10 ギガビットのスループットと数百万の接続をサポートし、クラウドでの大規模なビジネスをサポートします。

    • トラフィックの急増時に堅牢なスケーラビリティを確保するために、ALB インスタンスを作成する際に動的 IP アドレス割り当てを有効にすることを推奨します。

    • NLB は超高性能を提供し、オンデマンドで自動的にスケーリングできます。NLB インスタンスは、最大 1 億の同時接続をサポートします。

    可観測性

    NIS を使用して、インターネットトラフィックとパフォーマンスを分析し、異常を検出します。

    • インサイトプロバイダー:インサイトプロバイダーを使用して、インターネット品質評価に関するリアルタイム情報を取得し、インターネット品質の低下をタイムリーに把握し、インターネット品質イベントとイベント影響分析を受け取ることができます。

    • インターネットトラフィック分析:NIS コンソールの [トラフィック統計] および [トラフィックマップ] タブで、インターネットトラフィックの量を確認できます。NIS は、1 タプル (クラウド IP アドレス)、2 タプル (クラウド IP アドレスとピア IP アドレス)、および 5 タプル (クラウド IP アドレス、クラウドポート、プロトコル、ピア IP アドレス、ピアポート) の形式で、リージョンまたはインスタンスごとのインバウンドまたはアウトバウンドトラフィックのランキングを表示します。

    • インターネット接続品質:インターネット接続品質は、Alibaba Cloud リージョンと他の地理的な場所との間の平均レイテンシーを表示します。これは、サービスをデプロイする際に、レイテンシーが最も低い適切なリージョンまたはゾーンを選択するのに役立ちます。

    ベストプラクティス

    image

    全体設計

    専用の VPC を DMZ として作成して、内部ネットワーク (信頼済みゾーン) をインターネット (信頼できないゾーン) から分離し、DMZ VPC を使用してインターネットアクセスを制御します。この設計は、高同時実行性トラフィックに耐え、インターネットへのアクセスを制御し、インターネット帯域幅の使用率を向上させることができるアプリケーションアクセスゲートウェイの構築に役立ちます。さらに、アーキテクチャをセキュリティサービスと組み合わせることで、内部ネットワークの保護を最大限に高めることができます。

    トランジットルーターとルートテーブルの設計

    • インターネット向けサービスを含む VPC と DMZ VPC をトランジットルーターにアタッチします。サービス VPC で、トランジットルーターを指す 0.0.0.0/0 ルートを構成します。このルートを追加すると、インターネットトラフィックはデフォルトルートに転送されます。

    • トランジットルーターは、デフォルトのルートテーブルでもあるシステムルートテーブルを使用することを推奨します。ルートに、宛先 CIDR ブロックが 0.0.0.0/0 で、ネクストホップが DMZ VPC であるカスタムルートを追加して、インターネットトラフィックを DMZ VPC にルーティングします。インターネットトラフィックが SLB インスタンスと NAT Gateway を通過すると、システムは宛先 IP アドレスをプライベート IP アドレスに変換し、ルートテーブル内のルートをクエリしてから、トラフィックを宛先 VPC に転送します。

    DMZ VPC の設計

    • IPv4 または IPv6 ゲートウェイをインターネットの入口および出口として使用して、インターネットアクセスを制御します。

    • パブリック帯域幅:

      • Internet Shared Bandwidth は、帯域幅課金 (サブスクリプションおよび従量課金)、95 パーセンタイル帯域幅課金、データ転送量課金など、さまざまな課金方法をサポートします。同じ Internet Shared Bandwidth インスタンスに追加された EIP は、Internet Shared Bandwidth インスタンスの帯域幅リソースを共有でき、Internet Shared Bandwidth によって制限されます。

      • CDT インターネットデータ転送は、データ転送量課金の課金方法をサポートします。CDT は、アカウントごとにリージョンごとの段階的価格設定もサポートしています。

    • NAT Gateway のデプロイメント:

      • NAT Gateway を専用の vSwitch にデプロイします。インターネットアクセスが必要なサービス vSwitch のゾーンに独立した NAT Gateway をデプロイします。これにより、ゾーンに障害が発生した場合でも、他のゾーンの NAT Gateway のインターネットアクセスに影響が及ばないことが保証されます。

      • DNAT を無効にし、SNAT のみを有効にすることを推奨します。SNAT ポリシーを構成して、プライベートネットワークからインターネットへのアクセスを制御します。リスクを防ぐために、NAT Gateway に関連付けられている EIP での ping コマンドを許可することもできます。

    • SLB のデプロイメント:SLB インスタンスを専用の vSwitch にデプロイします。SLB インスタンスを複数のゾーンにまたがってデプロイすることで、サービスの信頼性を向上させることができます。レイヤー 4 のロードバランシングには NLB を、レイヤー 7 のロードバランシングには ALB を使用することを推奨します。

    • ルートテーブルの構成の詳細については、「リージョンに 1 つの VPC をデプロイする」をご参照ください。

    説明

    DMZ VPC は、インバウンドおよびアウトバウンドのインターネットトラフィック量が制御可能な企業に適しています。インバウンドのインターネットトラフィック量が多い場合は、DMZ VPC を分散型イングレスと組み合わせることができます。唯一の違いは、イングレスとして機能する SLB インスタンスが各サービス VPC にデプロイされることです。

    (オプション) セキュリティ

    • インターネットからクラウドへの保護:インターネットファイアウォールを有効にすることを推奨します。

    • クラウドからインターネットへの保護:ECS インスタンスと EIP のパブリック IP アドレスに対してインターネットファイアウォールを有効にすることを推奨します。NAT Gateway には NAT ファイアウォールを、VPC には VPC ファイアウォールを有効にすることを推奨します。

    利用シーン

    統一された DMZ は、特に金融、小売、製造、公共サービス業界、および多国籍企業など、大規模または中規模企業のネットワークアーキテクチャにおける標準構成です。これらの業界では、DMZ の重要性が高く認識されています。DMZ は、アーキテクチャ全体の堅牢性、セキュリティ、および保守性を向上させ、以下のシナリオに適用できます:

    クラウド上の動作の一元管理:クラウド環境では、企業はリスクを防ぐために、インターネットシナリオにおける各ビジネスの動作を一元的に管理する必要があります。DMZ を使用すると、企業はすべてのインバウンドおよびアウトバウンドのインターネットトラフィックを規制および監視し、企業がセキュリティおよびコンプライアンス要件を満たすことを保証できます。たとえば、DMZ を使用して、Web アクセス、ファイル転送、およびリモートアクセスを規制できます。

    クラウドビジネスの保護:セキュリティは、企業がクラウドにビジネスをデプロイするための前提条件です。DMZ の設計は非常に重要であり、セキュリティ、費用対効果、O&M の簡素化、攻撃の軽減など、複数のディメンションを考慮する必要があります。Cloud Firewall、Anti-DDoS、および WAF に基づいて多層防御ラインを構築することで、インターネットからの攻撃を効果的に軽減し、内部ネットワークの異常を検出およびブロックできます。

    物流企業のログ監査とコンプライアンスレポート:物流企業のインターネットビジネスには、大量の機密性の高いユーザーデータが含まれています。規制要件を満たすために、物流企業はデータセキュリティとユーザープライバシーを保護するためにすべてのトラフィックを監視する必要があります。同時に、物流企業は、セキュリティイベントの調査を容易にするために、すべてのインバウンドおよびアウトバウンドトラフィックを記録および監査する必要があります。フローログとトラフィックミラーリングで構成された DMZ は、物流企業がすべてのインターネットトラフィックのログデータを効率的に収集および分析し、データ転送のコンプライアンス要件を満たすのに役立ちます。さらに、セキュリティイベントの追跡も提供します。

    Terraform を使用した DMZ の設計

    DMZ の設計

    項目

    リファレンス

    Terraform モジュールの Web サイト

    DMZ の設計

    GitHub URL

    DMZ の設計

    コーディングプロセス:

    1. 本番、テスト、および DMZ 環境を分割し、各環境に複数の VPC と vSwitch をデプロイします。

    2. CEN インスタンスとトランジットルーターを作成します。VPC をトランジットルーターに接続して、VPC を CEN インスタンスにアタッチします。

    3. トランジットルーターのデフォルトルートテーブルにルートを追加して、インターネットトラフィックをルーティングします。

    4. DMZ の VPC に NLB インスタンスを作成し、本番環境のサーバーをバックエンドサーバーとして NLB インスタンスに追加します。

    5. DMZ の VPC に NAT Gateway を作成し、EIP を NAT Gateway に関連付け、NAT Gateway の SNAT のみを有効にします。テスト環境のインスタンスが NAT Gateway の EIP を使用してインターネットにアクセスできるようにルートを構成します。

    必要なリソース:

    • 3 つの VPC

    • 12 個の vSwitch

    • 1 つの CEN インスタンス

    • 1 つのトランジットルーター

    • 1 つの NLB インスタンス

    • 1 つのインターネット NAT Gateway

    • 1 つの EIP

    CADT でのアーキテクチャの仮想化

    DMZ の設計

    シナリオ

    項目

    リファレンス

    DMZ の設計

    テンプレート ID

    H1IH327YSFQ11L18

    テンプレートライブラリアドレス

    CADT テンプレートライブラリ

    サンプルコード

    WA-DMZ の設計

    可視化されたデプロイメントアーキテクチャ

    image.jpeg

    手順

    可視化デプロイメント

    3 つの VPC、12 個の vSwitch、1 つの NAT Gateway など、必要なクラウドリソースを作成します。

    1. テンプレートに基づいてアプリケーションを作成します。デフォルトのリージョンは中国 (杭州) です。既存のクラウドリソースを使用するのではなく、クラウドリソースを作成します。

    2. アプリケーションを保存して検証し、料金を計算します。この例では、すべてのクラウドリソースは従量課金制で課金されます。

    3. 構成を確認し、プロトコルを選択して、すべてのリソースのデプロイメントを開始します。ルートは自動的に構成されます。

    API 呼び出し

    1. 対応する API 操作を呼び出して、クラウドリソースをデプロイおよび使用します。

    2. ドキュメントを参照して、コマンドラインインターフェイス (CLI) を使用して構成を初期化します。

    3. サンプルの YAML ファイルを参照して、アーキテクチャをデプロイおよび出力します。

    4. リージョンを変更する場合は、area_id フィールドの値を変更します。たとえば、cn-hangzhou を cn-shanghai に変更します。