すべてのプロダクト
Search

このプロダクト

    Cloud Network Well-architected Design Guidelines:DMZ の設計

    ドキュメントセンター

    Cloud Network Well-architected Design Guidelines:DMZ の設計

    最終更新日:Feb 07, 2025

    概要

    背景情報

    高いセキュリティと効率性をサポートするクラウドネットワークアーキテクチャを構築するには、非武装地帯(DMZ)として機能する専用の仮想プライベートクラウド(VPC)を作成して、内部ネットワーク(信頼ゾーン)をインターネット(非信頼ゾーン)から分離します。 DMZ VPC を使用すると、インターネットアクセスを制御できます。この設計により、高並列トラフィックに耐え、インターネットへのアクセスを制御し、インターネット帯域幅の利用率を向上させるアプリケーションアクセスゲートウェイを構築できます。さらに、アーキテクチャをセキュリティサービスと組み合わせることで、内部ネットワークの保護を強化し、クラウドサービスを攻撃から保護できます。この Topic では、DMZ VPC の設計原則と重要なポイントについて説明し、クラウドインフラストラクチャを最適化し、セキュリティと高可用性を向上させるための完全な設計ソリューションとベストプラクティスを提供します。

    用語

    • VPC: VPC は、Alibaba Cloud 上に作成できるカスタムプライベートネットワークです。 VPC は論理的に相互に分離されています。 VPC 内で、Elastic Compute Service (ECS)、Server Load Balancer (SLB)、ApsaraDB RDS などのクラウドサービスインスタンスを作成および管理できます。

    • 転送ルータ: 転送ルータは、複数のネットワーク通信およびルート管理機能を提供します。 たとえば、転送ルータを使用して、ネットワークインスタンスの接続、カスタムルートテーブルの作成、ルートの追加、ルーティングポリシーの追加を行うことができます。

    • Application Load Balancer (ALB): ALB は、アプリケーション層で実行され、HTTP、HTTPS、および Quick UDP Internet Connections (QUIC) 上のトラフィックのバランスを取るように最適化された Alibaba Cloud サービスです。 ALB は非常に柔軟性が高く、必要に応じて大量のレイヤー 7 トラフィックを処理できます。

    • Network Load Balancer (NLB): NLB は、モノのインターネット (IoE) 時代向けのレイヤー 4 ロードバランシングサービスです。 NLB は超高性能を提供し、必要に応じて自動的にスケーリングできます。 NLB は、高い同時実行性を必要とするサービスに最適です。

    • Gateway Load Balancer (GWLB): GWLB は、IP リスナーに基づいて、ポートからサーバーグループの Network Virtual Appliances (NVA) にトラフィックを分散するレイヤー 3 ロードバランシングサービスです。 GWLB は、高可用性 NVA のデプロイに最適です。

    • NAT ゲートウェイ: NAT ゲートウェイは、アドレス変換を提供する Alibaba Cloud サービスです。 NAT ゲートウェイを使用してクラウドサービスアドレスを非表示にし、ネットワークセキュリティを向上させることができます。

    • Elastic IP Address (EIP): EIP は、独立したリソースとして購入して保有できるパブリック IP アドレスです。 EIP は、Alibaba Cloud のインターネット向けゲートウェイでプロビジョニングされた NAT IP アドレスであり、NAT を使用して関連付けられたクラウド リソースにマッピングされます。 EIP がクラウド リソースに関連付けられると、クラウド リソースは EIP を使用してインターネットと通信できます。

    • インターネット共有帯域幅: インターネット共有帯域幅は、リージョン内での帯域幅の共有と多重化をサポートします。 リージョンにインターネット共有帯域幅インスタンスを作成した後、リージョン内の EIP をインターネット共有帯域幅インスタンスに追加できます。 EIP は、インターネット共有帯域幅インスタンスを共有できます。 これにより、インターネット帯域幅のコストが削減されます。

    • Network Intelligence Service (NIS): NIS は、ネットワーク計画からネットワーク運用保守まで、クラウドネットワークのライフサイクル全体を管理するための一連の AIOps ツールを提供します。 たとえば、NIS を使用して、トラフィック分析、ネットワーク検査、ネットワークパフォーマンス監視、ネットワーク診断、パス解析、トポロジー作成を実行できます。 NIS は、ネットワークアーキテクチャの最適化、ネットワーク運用保守効率の向上、ネットワーク運用コストの削減に役立ちます。

    設計原則

    DMZ を設計する場合は、ネットワークアーキテクチャを SLB、NAT ゲートウェイ、Cloud Enterprise Network (CEN)、転送ルータ、インターネット共有帯域幅、EIP、およびセキュリティサービスと組み合わせて、データセキュリティ、アプリケーションセキュリティ、およびアプリケーションの信頼性を維持しながら、ネットワークの柔軟性とスケーラビリティを向上させることをお勧めします。 DMZ を設計する場合は、次の主要な原則に従ってください。

    安定性: DMZ は、内部ネットワークをインターネットから分離するだけでなく、サービスの可用性と継続性も決定します。 したがって、安定した DMZ を設計する必要があります。

    高パフォーマンスと効率性: ビジネスにおいてトラフィックの大きな変動が発生する場合、DMZ は、ピーク時に十分なリソースをスケールアウトし、オフピーク時にリソースをスケールインするために、リソースを動的にスケーリングできる必要があります。これにより、リソース使用率が向上します。

    セキュリティコンプライアンス: DMZ は、外部リスクをブロックし、企業が金融などの業界のセキュリティコンプライアンス要件を満たすのに役立つ必要があります。そのため、攻撃防御と侵入検知メカニズムも設計する必要があります。

    最小権限の原則 (PoLP): システム セキュリティを強化するために、システム コンポーネントがアクセスおよび操作できるリソースを最小限に抑えます。

    主要な設計

    安定性

    アーキテクチャの安定性を向上させるには、NLB または ALB インスタンス、転送ルータ、または NAT ゲートウェイを作成するときに、少なくとも 2 つのゾーンを選択することをお勧めします。 バックエンドサーバーを異なるゾーンの異なる vSwitch にデプロイして、ゾーンディザスタリカバリを実装します。

    セキュリティ

    • 基本的な保護:

      • ALB および NLB インスタンスをセキュリティグループに追加して、外部サービスへのアクセス制御を実装します。

      • NAT ゲートウェイの SNAT 機能を有効にし、ビジネス要件に基づいてバックエンドサーバーのインターネットアクセスを制御することをお勧めします。 これにより、潜在的なセキュリティリスクが軽減されます。潜在的なセキュリティ リスクを軽減します。

    • 高度な保護:

      • Anti-DDoS: Anti-DDoS Pro/Premium で保護された EIP を DMZ VPC 内の内部向け NLB または ALB インスタンスに関連付けて、Tbit/s レベルの DDoS 攻撃を軽減します。 Anti-DDoS Pro/Premium で保護された EIP を使用するには、Anti-DDoS Origin をアクティブ化し、従量課金方式を選択する必要があります。

      • Web Application Firewall: WAF 対応 ALB インスタンスを購入し、Web サービスを WAF 対応 ALB インスタンスに移行します。透過プロキシモードでの WAF 2.0 との統合ではなく、ALB はサービス統合モードで WAF 3.0 と統合されます。 リスニングと転送は、WAF ではなく ALB によって実行されます。 転送サービスとセキュリティサービスは互いに分離されているため、互換性とパフォーマンスの安定性が確保されます。

      • インターネットファイアウォール: インターネットファイアウォールを有効にし、新しいアセットの自動保護をオンにします。 インターネットファイアウォールは、Alibaba Cloud アカウントに新しく追加されたパブリック IP アドレスに対して自動的に有効になります。

      • サードパーティファイアウォール: GWLB と組み合わせて、Palo Alto Networks や Fortinet などのサードパーティファイアウォールを設計します。

    パフォーマンス

    • EIP とインターネット共有帯域幅を組み合わせて、インバウンドおよびアウトバウンドスループットを 100 Gbit/s に増やすことができ、より高いトラフィックスパイクに耐えることができます。

    • 各 NAT ゲートウェイは、10 ギガビットのスループットと数百万の接続をサポートし、クラウド内の大規模ビジネスをサポートします。

    • トラフィックスパイクの場合に堅牢なスケーラビリティを確保するには、ALB インスタンスを作成するときに動的 IP アドレス割り当てを有効にすることをお勧めします。

    • NLB は超高性能を提供し、必要に応じて自動的にスケーリングできます。 NLB インスタンスは、最大 1 億の同時接続をサポートします。

    可観測性

    NIS を使用して、インターネットトラフィックとパフォーマンスを分析し、異常を検出します。

    • インサイトプロバイダー: インサイトプロバイダーを使用して、インターネット品質評価に関するリアルタイム情報を取得し、インターネット品質の低下をタイムリーに把握し、インターネット品質イベントとイベントの影響分析を受け取ることができます。

    • インターネットトラフィック分析: [トラフィック統計] タブと [トラフィックマップ] タブでインターネットトラフィックの量を確認できます。 NIS は、リージョンまたはインスタンス別のインバウンドまたはアウトバウンドトラフィックのランキングを、1 タプル (クラウド IP アドレス)、2 タプル (クラウド IP アドレスとピア IP アドレス)、および 5 タプル (クラウド IP アドレス、クラウドポート、プロトコル、ピア IP アドレス、およびピアポート) の形式で表示します。

    • インターネット接続品質: インターネット接続品質は、Alibaba Cloud リージョンと他の地理的位置の間の平均レイテンシを表示します。 これにより、サービスをデプロイするときに、レイテンシが最も低い適切なリージョンまたはゾーンを選択できます。

    ベストプラクティス

    image

    全体設計

    専用の VPC を DMZ として作成して、内部ネットワーク (信頼ゾーン) をインターネット (非信頼ゾーン) から分離し、DMZ VPC を使用してインターネットアクセスを制御します。 この設計は、高同時実行トラフィックに耐え、インターネットへのアクセスを制御し、インターネット帯域幅の利用率を向上させることができるアプリケーションアクセスゲートウェイの構築に役立ちます。 さらに、アーキテクチャをセキュリティサービスと組み合わせることで、内部ネットワークの保護を最大化できます。

    転送ルータとルートテーブルの設計

    • インターネット向けサービスを含む VPC と DMZ VPC を転送ルータに接続します。 サービス VPC で、転送ルータを指す 0.0.0.0/0 ルートを構成します。 このルートを追加すると、インターネットトラフィックはデフォルトルートに転送されます。

    • 転送ルータは、デフォルトのルートテーブルでもあるシステムルートテーブルを使用することをお勧めします。 ルートには、宛先 CIDR ブロックが 0.0.0.0/0 で、ネクストホップが DMZ VPC であるカスタムルートを追加して、インターネットトラフィックを DMZ VPC にルーティングします。 インターネットトラフィックが SLB インスタンスと NAT ゲートウェイを通過すると、システムは宛先 IP アドレスをプライベート IP アドレスに変換し、ルートテーブル内のルートをクエリしてから、トラフィックを宛先 VPC に転送します。

    DMZ VPC の設計

    • IPv4 または IPv6 ゲートウェイをインターネットエグレスおよびイングレスとして使用して、インターネットアクセスを制御します。

    • パブリック帯域幅:

      • インターネット共有帯域幅は、帯域幅課金 (サブスクリプションと従量課金)、95 パーセンタイル帯域幅課金、トラフィック課金など、さまざまな課金方法をサポートします。 同じインターネット共有帯域幅インスタンスに追加された EIP は、インターネット共有帯域幅インスタンスの帯域幅リソースを共有でき、インターネット共有帯域幅によって制限されます。

      • CDT インターネットデータ転送は、トラフィック課金による課金方法をサポートしています。 CDT はまた、リージョンごと、アカウントごとの段階的価格設定もサポートしています。

    • NAT ゲートウェイのデプロイ:

      • NAT ゲートウェイを専用の vSwitch にデプロイします。 インターネットアクセスが必要なサービス vSwitch のゾーンに、独立した NAT ゲートウェイをデプロイします。 これにより、ゾーンに障害が発生した場合でも、他のゾーンの NAT ゲートウェイのインターネットアクセスは影響を受けません。

      • DNAT を無効にし、SNAT のみ有効にすることをお勧めします。 SNAT ポリシーを構成して、プライベートネットワークからインターネットへのアクセスを制御します。 リスクを防ぐために、NAT ゲートウェイに関連付けられている EIP で ping コマンドを許可することもできます。

    • SLB デプロイ: SLB インスタンスを専用の vSwitch にデプロイします。 SLB インスタンスをゾーン全体にデプロイして、サービスの信頼性を向上させることができます。 レイヤー 4 ロードバランシングには NLB、レイヤー 7 ロードバランシングには ALB を使用することをお勧めします。

    • ルートテーブルの構成の詳細については、「リージョンに 1 つの VPC をデプロイする」をご参照ください。

    説明

    DMZ VPC は、インバウンドおよびアウトバウンドのインターネットトラフィックの量を制御できる企業に適しています。 インバウンドインターネットトラフィックの量が多い場合は、DMZ VPC と分散イングレスを組み合わせることができます。 唯一の違いは、イングレスとして機能する SLB インスタンスが各サービス VPC にデプロイされることです。

    (オプション) セキュリティ

    • インターネットからクラウドへの保護: インターネットファイアウォールを有効にすることをお勧めします。

    • クラウドからインターネットへの保護: ECS インスタンスと EIP のパブリック IP アドレスに対してインターネットファイアウォールを有効にすることをお勧めします。 NAT ゲートウェイには NAT ファイアウォール、VPC には VPC ファイアウォールを有効にすることをお勧めします。

    シナリオ

    統合 DMZ は、大規模または中規模の企業、特に金融、小売、製造、公共サービス業界および多国籍企業のネットワークアーキテクチャにおける標準構成です。DMZ の重要性は、これらの業界で高く評価されています。DMZ はアーキテクチャ全体の堅牢性、セキュリティ、および保守性を向上させ、以下のシナリオに適用できます。

    クラウド動作の一元管理: クラウド環境では、企業はリスクを防ぐために、インターネットシナリオにおける各ビジネスの動作を一元的に制御する必要があります。 DMZ を使用すると、企業はすべてのインバウンドおよびアウトバウンドインターネットトラフィックを規制および監視し、企業がセキュリティとコンプライアンスの要件を満たすことができます。 たとえば、DMZ を使用して、Web アクセス、ファイル転送、およびリモートアクセスを規制できます。

    クラウドビジネスの保護: セキュリティは、企業がクラウドにビジネスをデプロイするための前提条件です。 DMZ の設計は非常に重要であり、セキュリティ、コスト効率、運用保守の簡素化、攻撃の軽減など、複数の側面を考慮する必要があります。 Cloud Firewall、Anti-DDoS、WAF に基づいて多層防御ラインを構築することで、インターネットからの攻撃を効果的に軽減し、内部ネットワークの異常を検出してブロックできます。

    物流企業向けのログ監査とコンプライアンスレポート: 物流企業のインターネットビジネスには、大量の機密ユーザーデータが含まれています。規制要件を満たすために、物流企業はすべてのトラフィックを監視して、データセキュリティとユーザープライバシーを保護する必要があります。同時に、物流企業は、セキュリティイベントの調査を容易にするために、すべてのインバウンドトラフィックとアウトバウンドトラフィックを記録および監査する必要があります。フローログとトラフィックミラーリングで構成された DMZ は、物流企業がすべてのインターネットトラフィックのログデータを効率的に収集および分析し、データ送信に関するコンプライアンス要件を満たすのに役立ちます。さらに、セキュリティイベントの追跡を提供します。