Elastic Compute Service (ECS) インスタンスのセキュリティと安定性を継続的に向上させるために、Alibaba Cloud は、Elastic Network Interface (ENI) の粒度で送受信 IP アドレスチェック機能を提供します。この機能により、ENI は自身の IP アドレス宛てのパケットのみを受信し、その IP アドレスを送信元とするパケットのみを送信できるようになります。これにより、潜在的な IP 偽装攻撃を防ぎます。 2025 年 4 月 22 日より、この機能はカナリアリリースとなり、ECS インスタンスと ENI を作成する際に ENI に対して有効にすることができます。
適用開始日時
2025 年 4 月 22 日 UTC + 08:00 00:00:00
影響を受けるお客様
以下の要件を満たす Alibaba Cloud アカウントでは、ECS インスタンスと個別に、または一緒に作成された ENI に対し、この機能がデフォルトで有効になります。
2024 年 12 月 1 日 00:00:00 以降、ネクストホップタイプが ENI または ECS インスタンスであるルートエントリが、仮想プライベートクラウド (VPC) のルートテーブルに設定されていないこと。
2024 年 12 月 1 日 00:00:00 以降、ENI 上のトラフィックの送信元または送信先 IP アドレスが、その ENI に割り当てられている IP アドレスと一致しないトラフィックレコードが ECS インスタンスに存在しないこと。
Alibaba Cloud アカウントがこれらの要件を満たしていない場合、システムは特定の ENI ルーティングニーズがあると想定し、デフォルトでこの機能を無効にします。 この機能は手動で有効または無効にすることも可能です。
この変更は、既存の ENI または ECS インスタンスには影響しません。既存のビジネスへの影響はないと予想されます。
機能の手動無効化
この変更により、送受信できる IP アドレスが限定されたため、一部のシナリオにおけるトラフィックがブロックされることがあります。そのため、トラフィックが期待通りに転送されるよう、以下のいずれかのシナリオに該当する ECS インスタンスまたは ENI に対し、「送受信 IP アドレスチェック機能」を手動で無効にする必要があります。
新しい ECS インスタンスで NAT、ルーティング、またはファイアウォールサービスを実行する場合
送信元/送信先の設定がない複数の ENI が配置されている場合
ロードバランシングなどの、セキュリティリスクを伴うセルフマネージドサービスで仮想 IP アドレスを使用する場合
詳細については、「ENI の送受信 IP アドレスチェック機能を設定する」をご参照ください。