セキュリティグループルールとは - Elastic Compute Service

セキュリティグループルールは、セキュリティグループ内の Elastic Compute Service (ECS) インスタンスのインバウンドおよびアウトバウンドトラフィックを管理するカスタムアクセス制御ルールです。これらのルールは、クラウドリソースへのアクセスを制御し、ネットワークセキュリティを強化するのに役立ちます。

セキュリティグループルールを使用する前に、次の情報に注意してください。

Virtual Private Cloud (VPC) では、セキュリティグループルールはインバウンドまたはアウトバウンドに分類され、インターネットと内部ネットワークの両方のトラフィックを制御します。クラシックネットワークでは、セキュリティグループルールはパブリックインバウンド、パブリックアウトバウンド、内部インバウンド、および内部アウトバウンドに分類されます。パブリックルールはインターネットトラフィックを制御し、内部ルールは内部ネットワークトラフィックを制御します。
セキュリティグループはステートフルです。ステートフルセッションは最大 910 秒間継続できます。アクセスが許可され、セッションが確立されると、セキュリティグループはそのセッション内の後続のすべての通信を許可します。たとえば、インバウンドデータパケットが許可されると、対応するアウトバウンドデータパケットもセッションの期間中許可されます。
ルール動作が変更されない限り、セキュリティグループルールの変更や NIC に関連付けられているセキュリティグループの変更は、確立されたセッションに影響しません。基本セキュリティグループの内部相互接続性に依存してトラフィックを許可し、関連付けられているセキュリティグループを変更する際に確立されたセッションの中断を避けたい場合は、まず ECS インスタンスまたは NIC を新しいセキュリティグループに追加する必要があります。その後、約 10 秒待ってから古いセキュリティグループから削除します。
TCP ポート 25 はデフォルトのメールサービスポートです。セキュリティ上の理由から、ECS インスタンスの TCP ポート 25 はデフォルトで制限されています。ポート 465 を使用してメールを送信できます。
セキュリティグループルールを追加しない場合、セキュリティグループは非表示のデフォルトアクセス制御ルールを使用します。これらのデフォルトルールは、カスタムルールと連携して ECS インスタンスのトラフィックを制御します。基本セキュリティグループとエンタープライズセキュリティグループでは、デフォルトルールが異なります。基本セキュリティグループの場合、デフォルトのインバウンドルールは同じセキュリティグループ内の他のインスタンスからの内部ネットワークトラフィックを許可し、デフォルトのアウトバウンドルールはすべてのトラフィックを許可します。エンタープライズセキュリティグループの場合、インバウンドとアウトバウンドの両方のトラフィックがデフォルトで拒否されます。詳細については、「基本セキュリティグループとエンタープライズセキュリティグループ」をご参照ください。
基本セキュリティグループの内部接続性ポリシーは、そのデフォルトのアクセス制御ルールに影響します。デフォルトのポリシーは内部相互接続性であり、これはインバウンドルールが同じセキュリティグループ内の他のインスタンスからの内部ネットワークトラフィックを許可し、アウトバウンドルールが同じセキュリティグループ内の他のインスタンスへの内部ネットワークトラフィックを許可することを意味します。基本セキュリティグループ内のインスタンスが内部ネットワーク経由で相互にアクセスする必要がない場合は、最小権限の原則 (PoLP) に従い、内部接続性ポリシーを内部隔離に設定する必要があります。詳細については、「基本セキュリティグループの内部接続性ポリシーを変更する」をご参照ください。
ECS インスタンスのトラフィックを許可するかどうかを決定するために、関連付けられているすべてのセキュリティグループのルールが結合されます。これらのルールは固定ポリシーに基づいてソートされ、デフォルトのアクセス制御ルールとともに適用されてトラフィックを許可または拒否します。詳細については、「カスタムセキュリティグループルールの照合ポリシー」をご参照ください。
セキュリティグループ内のルールの数には制限があります。
- 単一の Elastic Network Interface (ENI) は、最大 10 個のセキュリティグループに関連付けることができます。
- ENI に関連付けられているすべてのセキュリティグループにわたる、インバウンドルールとアウトバウンドルールを含むルールの総数は 1,000 を超えることはできません。
詳細については、「セキュリティグループの制限」をご参照ください。
制限を超えないようにし、管理の複雑さを軽減するために、単一のセキュリティグループ内のルールを簡素化する必要があります。セキュリティグループルールのヘルスチェック機能を使用して、冗長なルールを定期的に検出して削除できます。詳細については、「セキュリティグループ内の冗長なルールを確認する」をご参照ください。

セキュリティグループルールのコンポーネント

カスタムセキュリティグループルールは、次のコンポーネントで構成されます。

プロトコルタイプ：マッチングするトラフィックのプロトコルタイプ。2 種類の値がサポートされています。

プロトコル名：TCP、UDP、ICMP (IPv4)、ICMP (IPv6)、および GRE。

IANA 標準に準拠した IP プロトコル番号：0 から 255 までの整数。前述のプロトコル名に対応するプロトコル番号は、プロトコル名を指定するのと同じです。たとえば、TCP は 6、UDP は 17、ICMP (IPv4) は 1、ICMP (IPv6) は 58、GRE は 47 です。

プロトコル番号の設定をサポートするリージョン

リージョン名	リージョン ID
中国 (フフホト)	cn-huhehaote
中国 (青島)	cn-qingdao
フィリピン (マニラ)	ap-southeast-6
イギリス (ロンドン)	eu-west-1
マレーシア (クアラルンプール)	ap-southeast-3
米国 (シリコンバレー)	us-west-1
シンガポール	ap-southeast-1

ポート範囲: 照合するトラフィックの宛先ポート。単一のポート範囲とポートリストがサポートされています。
- 単一のポート範囲: TCP および UDP プロトコルの場合、8000/9000 や 22/22 のように、スラッシュ (/) で区切られたポート範囲を指定できます。他のプロトコルの場合、このフィールドは -1/-1 に設定されます。詳細については、「一般的なポート」をご参照ください。
- ポートリスト: ポートリストはポートのコレクションです。ポート範囲をポートリストに設定した場合、このルールは、実際のエントリ数に関係なく、ポートリストの最大エントリ数に等しい数のセキュリティグループルールとしてカウントされます。ポートリストを使用する場合、セキュリティグループルールのプロトコルタイプは TCP または UDP である必要があります。詳細については、「ポートリストの概要」をご参照ください。
権限付与オブジェクト: インバウンドルールで照合するトラフィックのソースアドレス、またはアウトバウンドルールで照合するトラフィックの宛先アドレス。CIDR (Classless Inter-Domain Routing) ブロック (または IP アドレス)、セキュリティグループ、およびプレフィックスリストがサポートされています。
- IPv4 アドレス: たとえば、192.168.0.100。
- IPv4 CIDR ブロック: たとえば、192.168.0.0/24。
- IPv6 アドレス: たとえば、2408:4321:180:1701:94c7:bc38:3bfa:9。インターフェイスは IPv6 アドレスを標準化します。たとえば、2408:180:0000::1 は 2408:180::1 として処理されます。
- IPv6 CIDR ブロック: たとえば、2408:4321:180:1701::/64。インターフェイスは IPv6 CIDR ブロックを標準化します。たとえば、2408:4321:180:0000::/64 は 2408:4321:180::/64 として処理されます。
- セキュリティグループ ID: 現在のアカウントまたは別のアカウントのターゲットセキュリティグループへのアクセスを許可できます。ターゲットセキュリティグループ内の ECS インスタンスの内部 IP アドレスは、トラフィックの照合と内部ネットワークアクセスの制御に使用されます。たとえば、セキュリティグループ A に ECS インスタンス B が含まれている場合、セキュリティグループ A へのアクセスを許可すると、ECS インスタンス B の内部 IP アドレスへのアクセス権限が付与されます。
- プレフィックスリスト ID: プレフィックスリストは、ネットワークプレフィックス (CIDR ブロック) のコレクションです。権限付与オブジェクトをプレフィックスリストに設定した場合、このルールは、実際のエントリ数に関係なく、プレフィックスリストの最大エントリ数に等しい数のセキュリティグループルールとしてカウントされます。詳細については、「プレフィックスリストの概要」をご参照ください。
権限付与ポリシー: 許可または拒否。トラフィックがプロトコル、ポート、および権限付与オブジェクトに基づいてセキュリティグループルールに一致した後、権限付与ポリシーが適用されてトラフィックが許可または拒否されます。
優先度: ルールの優先度。値は 1 から 100 までです。値が小さいほど優先度が高くなります。セキュリティグループルールは、まず優先度でソートされ、次に権限付与ポリシーでソートされます。詳細については、「カスタムセキュリティグループルールの照合ポリシー」をご参照ください。
ルール方向: インバウンドまたはアウトバウンド。インバウンドルールはインバウンドトラフィックを制御し、アウトバウンドルールはアウトバウンドトラフィックを制御します。
NIC タイプ: このコンポーネントは、クラシックネットワークでのみ関連します。ルールがクラシックネットワーク ECS インスタンスのパブリック NIC または内部 NIC に適用されるかどうかを指定できます。パブリック NIC に適用されるセキュリティグループルールはパブリックネットワークアクセスを制御します。内部 NIC に適用されるルールは内部ネットワークアクセスを制御します。Virtual Private Cloud (VPC) では、セキュリティグループルールはパブリックと内部の両方のネットワークアクセスを制御します。
ルール ID: セキュリティグループルールを追加すると、システムはルールの一意の ID を生成します。既存のルールを変更または削除するには、ルール ID を使用してルールを指定できます。

セキュリティグループルールは、プロトコルタイプ、ポート範囲、および権限付与オブジェクトに基づいてトラフィックを照合し、権限付与ポリシーに基づいてトラフィックを許可または拒否します。一般的なインバウンドルールでは、権限付与オブジェクトはトラフィックのソースアドレスに一致し、ポート範囲は宛先ポートに一致します。一般的なアウトバウンドルールでは、権限付与オブジェクトはトラフィックの宛先アドレスに一致し、ポート範囲は宛先ポートに一致します。より正確なアクセス制御が必要な場合は、5 タプルルールを使用できます。詳細については、「セキュリティグループの 5 タプルルール」をご参照ください。

カスタムセキュリティグループルールの照合ポリシー

ECS インスタンスは、1 つ以上のセキュリティグループに関連付けることができます。ECS インスタンスのトラフィックを許可するかどうかを決定する場合 (インバウンドトラフィックを例として使用)、次のルール照合ポリシーが適用されます。

複数のセキュリティグループからのインバウンドルールが結合され、次の基準に従ってソートされます。
1. まず、ルールは優先度でソートされます。優先度の値が小さいほど、優先度が高くなります。
2. 次に、ルールは権限付与ポリシーでソートされます。拒否 (Drop) ルールは、許可 (Accept) ルールよりも優先されます。
トラフィックは、プロトコルタイプ、ポート範囲、および権限付与オブジェクトに基づいて、各カスタムルールと順番に照合されます。一致が見つかった場合、ルールの権限付与ポリシーで指定されたアクションが実行され、トラフィックが許可または拒否されます。

カスタムセキュリティグループルールに加えて、セキュリティグループには、トラフィックが許可されるか拒否されるかに影響を与える非表示のデフォルトアクセス制御ルールもあります。詳細については、「基本セキュリティグループとエンタープライズセキュリティグループ」をご参照ください。

特別なセキュリティグループルール

ECS インスタンスの安定した運用と特定のクラウド機能の機能を確保するために、セキュリティグループはデフォルトで特定のネットワークトラフィックを許可します。このデフォルトの動作をブロックするようにセキュリティグループルールを構成することはできません。これらの特別なシナリオには、次のものが含まれます。

特定の条件下でのネットワーク接続性チェック:
基盤となるコンポーネントが変更されると、Alibaba Cloud は ECS インスタンスでオンデマンドの Ping プローブを実行して、ネットワーク接続性を検証することがあります。これらのプローブは定期的ではありません。これらのチェックの正確性を確保するために、セキュリティグループはデフォルトでこのプローブトラフィックを識別して許可します。
ICMP (PMTUD エラーメッセージ):
ECS インスタンスがパスの最大転送単位 (MTU) を超え、Don't Fragment (DF) フラグが設定されたデータパケットを送信すると、インスタンスは正しいパス MTU を含む ICMP エラーメッセージを受信します。このメッセージは、ECS インスタンスにパケットサイズを小さくするように指示します。セキュリティグループは、この特別なネットワークトラフィックをデフォルトで識別して許可します。詳細については、「ジャンボフレーム」をご参照ください。
SLB トラフィック:
ネットワークトラフィックが ALB、NLB、CLB などの Server Load Balancer (SLB) を介してバックエンドの ECS インスタンスに転送される場合、セキュリティグループはデフォルトでこのトラフィックを識別して許可します。この場合、SLB インスタンスのセキュリティグループまたはアクセス制御リスト (ACL) が ECS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御します。
MetaServer へのアクセス:
MetaServer は、ECS インスタンスが正しく実行されるために必要な基本的なサービスであるグローバルメタサービスを提供します。セキュリティグループは、MetaServer (IP アドレス 100.100.100.200) へのアウトバウンドトラフィックをデフォルトで許可します。追加のルールを構成する必要はありません。

セキュリティグループクインテットルール

デフォルトでは、コンソールでセキュリティグループルールを構成する場合、ルールは次のコンポーネントに限定されます。

インバウンドセキュリティグループルール: ソース IP アドレス、宛先ポート、およびプロトコルタイプ。
アウトバウンドセキュリティグループルール: 宛先 IP アドレス、宛先ポート、およびプロトコルタイプ。

ECS インスタンスのアウトバウンドおよびインバウンドトラフィックをより正確に制御するために、API を使用してセキュリティグループの 5 タプルルールを構成できます。5 タプルルールは、既存のセキュリティグループルールと完全に互換性があります。セキュリティグループのインバウンドおよびアウトバウンドの 5 タプルルールでは、ソース IP アドレス、ソースポート、宛先 IP アドレス、宛先ポート、およびプロトコルタイプを構成する必要があります。

セキュリティグループ内の特定の ECS インスタンスのトラフィックを制御するために、インバウンドルールで宛先 IP アドレスを構成するか、アウトバウンドルールでソース IP アドレスを構成する場合、ECS インスタンスのプライベート IP アドレスを指定する必要があり、そのパブリック IP アドレス (固定パブリック IP アドレスおよび Elastic IP アドレス (EIP) を含む) を指定してはなりません。これは、固定パブリック IP アドレスと EIP が Alibaba Cloud のパブリックゲートウェイにある NAT IP アドレスであるためです。セキュリティグループはインスタンスの ENI で動作し、NAT IP アドレスにマッピングされているプライベート IP アドレスに関連付けられたトラフィックを制御します。

たとえば、5 タプルアウトバウンドルールの次のコードは、172.16.1.0/32 がポート 22 で 10.0.0.1/32 への TCP アクセスを開始することを示しています。

ソース IP アドレス: 172.16.1.0/32
ソースポート: 22
宛先 IP アドレス: 10.0.0.1/32
宛先ポート: 制限なし
プロトコルタイプ: TCP

説明

コンソールで 5 タプルルールを構成するには、まず承認のためにチケットを送信する必要があります。

セキュリティグループルールの構成例

次の例は、Web サイトのホスティングやインスタンスへのリモート接続など、一般的なシナリオでのセキュリティグループルールの構成を示しています。