Virtual Private Cloud (VPC) は、クラウドコンピューティング環境における論理的に分離されたネットワークです。VPC を使用すると、パブリッククラウド内に完全に分離されたプライベートネットワークを構築できます。これは、厳格なネットワークドメインの分離が必要なシナリオで役立ちます。たとえば、ビジネス要件やリージョンに基づいて、ネットワークを異なるセキュリティドメインに分割できます。また、レッド、イエロー、グリーンゾーンの作成、オフィス、テスト、本番ネットワークの分離、またはサービスと運用保守 (O&M) のための異なるネットワークプレーンの作成も可能です。
セキュリティリスク
異なるネットワークドメインは、多くの場合、異なるセキュリティレベルとネットワークアクセス制御要件を持っています。ネットワークが適切に分離されていない場合、セキュリティリスクが拡散する可能性があります。これにより、攻撃のラテラルムーブメントや不正アクセスにつながる可能性があります。
たとえば、オフィスネットワークはインターネットにアクセスする必要があり、ウイルスに感染しやすくなっています。しかし、本番ネットワークは、制御された方法でインターネットにサービスを提供する必要があります。本番ネットワーク上のマシンは、承認された公開システムまたは O&M システムを介してのみ変更またはアクセスされる必要があります。ネットワークが分離されていないと、インターネットトラフィックに対するネットワークアクセス制御ポリシーの管理が困難になります。オフィスコンピュータ上のウイルスは、本番ネットワーク上のマシンに簡単に水平展開する可能性があります。また、オフィスコンピュータが承認されたシステムをバイパスして、本番ネットワーク上のマシンに直接アクセスする可能性もあります。
セキュリティグループは、ネットワークドメインやセキュリティドメインの分離には適していません。これは、VPC が互いに自然に分離されており、独立したアドレス空間を持っているためです。これにより、複雑なアドレス空間の計画が不要になります。VPC 間の限定的なサービスアクセスを許可するには、PrivateLink などのサービスを使用できます。対照的に、単一の VPC を異なるネットワークドメインに分割するには、慎重なアドレス空間の計画が必要です。デフォルトでは、同じ VPC 内の異なるアドレス空間にあるリソースは、互いに完全に通信できます。アドレスグループに基づいてトラフィックをブロックまたは許可するには、セキュリティグループルールを慎重に構成する必要があります。構成の誤りは、意図しないネットワーク権限やセキュリティリスクに簡単につながる可能性があります。
ベストプラクティス
VPC を分離し、PrivateLink を使用して VPC 間のサービスアクセスを行う
VPC 間の通信を制御する必要がある場合は、PrivateLink または VPC ファイアウォールを使用できます。PrivateLink は、サービス仮想 IP アドレス (VIP) を介して VPC 間のサービスアクセスを可能にします。次の図は、VPC を使用してネットワークを分離するシナリオを示しています。このシナリオでは、PrivateLink を使用して VPC1 のサービスが VPC2 のサービスにアクセスできるようにします。詳細については、「PrivateLink を使用して別の VPC の CLB インスタンスにアクセスする」をご参照ください。
PrivateLink エンドポイントポリシーを使用すると、Resource Access Management (RAM) ユーザーやロールなどの Alibaba Cloud エンティティが、エンドポイントを介して Alibaba Cloud サービスにアクセスできるかどうかを制御できます。詳細については、「エンドポイントポリシー」をご参照ください。
PrivateLink エンドポイントにセキュリティグループをアタッチすると、そのセキュリティグループを使用して、特定 の IP アドレスまたはセキュリティグループのみがエンドポイントのプライベート IP アドレスにアクセスできるように許可できます。詳細については、「セキュリティグループの追加と管理」をご参照ください。
この方法は、信頼できない当事者が関与するシナリオに適しています。たとえば、前の図の VPC1 と VPC2 は、2 つの異なる企業に属している可能性があります。
VPC を分離し、CEN で接続し、VPC ファイアウォールを使用してネットワークアクセス制御を行う
Cloud Enterprise Network (CEN) は、次の図に示すように、ルート転送を使用して、リージョンやアカウントをまたいで複数の VPC をハブアンドスポーク型トポロジで接続します。構成手順については、「VPC 接続のためのシナリオベースのネットワーク」をご参照ください。
CEN では、ルーティングポリシーを構成できます。これは、VPC 間の粗粒度のアクセス制御に適しています。前の図では、VPC1 と VPC3 間、および VPC1 と VPC2 間の通信を許可し、VPC2 と VPC3 間の通信を許可しないルールを構成できます。
ビジネスレイヤーでのネットワークアクセス制御については、Basic Edition トランジットルーターの VPC ファイアウォールを構成できます。たとえば、次の図に示すように、CEN Basic Edition トランジットルーターを考えてみましょう。VPC ファイアウォールは、VPC 境界でトラフィックを自動的に転送します。ディープパケットインスペクション (DPI) トラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、およびアクセス制御ポリシーを使用します。VPC 間のトラフィックをフィルターして、トラフィックが許可されているかどうかを判断します。これにより、不正なアクセストラフィックを効果的にブロックし、プライベートネットワーク資産間のトラフィックを保護します。