すべてのプロダクト
Search

このプロダクト

    NAT Gateway:NAT GatewayとNATファイアウォールを使用してプライベートネットワークのアウトバウンドトラフィックを保護する

    ドキュメントセンター

    NAT Gateway:NAT GatewayとNATファイアウォールを使用してプライベートネットワークのアウトバウンドトラフィックを保護する

    最終更新日:Mar 12, 2025

    このトピックでは、内部対応資産によって開始されるアウトバウンド接続のリスク、リスクを解決するソリューション、および一般的なビジネスシナリオのソリューションについて説明します。 このトピックでは、デプロイとO&Mの手順についても説明します。

    アウトバウンドトラフィックのセキュリティ課題

    ネットワーク攻撃がより高度になるにつれて、企業のセキュリティ開発はより困難な課題に直面しています。 ほとんどの場合、企業のクラウドワークロードには、インターネットからのインバウンドトラフィックと、資産によって開始されるアウトバウンドトラフィックが含まれます。 ほとんどの企業のセキュリティO&Mチームがネットワークセキュリティを保護する方法を検討すると、インバウンドトラフィックが優先され、比較的完全なセキュリティ対策が実装されます。 その結果、企業はアウトバウンドネットワークトラフィックのリスクに対して脆弱になる可能性があります。 たとえば、インバウンド保護対策がバイパスされると、攻撃は内部ネットワークに侵入します。 これにより、データの盗難、悪意のあるソフトウェアのダウンロードとインストール、またはアウトバウンドコマンドと制御 (C&C) 接続が発生します。 社内の担当者は、企業のセキュリティ管理対策の怠慢により、許可なく、または悪意のあるWebサイトアプリケーションなしで外部ネットワークにアクセスすることもあります。 これにより、機密データの漏洩などのリスクが発生します。

    企業は、アウトバウンドトラフィックにおける次の潜在的なセキュリティリスクに注意を払う必要があります。

    • マルウェア攻撃のリスク

      攻撃者は、インバウンドトラフィック保護のためのセキュリティ対策を回避し、企業の内部ワークロードを危険にさらすと、ランサムウェアのダウンロードのコールバックなど、アウトバウンドC&C接続を開始することがよくあります。 攻撃チェーンでは、マルウェア感染は体積攻撃の初期段階の1つです。 大量のマルウェアは、C&Cサーバーと通信し、接続を確立し、更新を取得し、要求を開始し、盗まれたデータをC&Cサーバーに送信する必要があります。 特定の種類のランサムウェア、ボットネット、およびマイニングプログラムには、アウトバウンドコールバックが必要です。 この場合、ITインフラストラクチャ、デジタルアセット、企業の開発システムなどのアイテムへのさらなる損害を防ぐために、悪意のあるアウトバウンド接続に対する警告と予防が必要です。

    • データ漏えいリスク

      攻撃者は、企業の価値の高いデータを盗むことを目指しています。 企業が攻撃された場合、攻撃者は、財務データ、パスワード、電子メール、個人ID情報など、企業の価値の高いデータを取得できます。 次に、攻撃者は、違法取引、金融詐欺、個人情報盗難などの悪意のある活動のために、インターネット上でデータを拡散する可能性があります。 攻撃者は、取得した情報を使用して、特権のエスカレーションを実行したり、企業の機密データシステムにアクセスしたりすることもあります。

    • 内部人事ベースのリスク

      企業の内部要員は、不十分なセキュリティ認識またはセキュリティ管理対策の過失により、ビジネスシステム開発またはO&M中に、安全でないwebサービス、地理的位置、またはIPアドレスに電話してアクセスする可能性があります。 社内担当者は、GitHubなどのオープンソースプラットフォームに機密データを意図的にアップロードする場合があります。 これにより、企業への攻撃や機密データ漏洩のリスクが発生する可能性があります。 前述のリスクを監視し、アラートをトリガーし、リスクをできるだけ早い機会にブロックする必要があります。 監査とトレースも必要です。

    • サプライチェーンのリスク

      企業のセキュリティシステムは完成しているが、企業のビジネスにサードパーティシステムが含まれている場合、または企業がサプライヤまたは子会社のシステムと通信する必要があり、不十分なセキュリティ対策によりサプライヤまたは子会社のシステムが攻撃されて危険にさらされた場合、企業のシステムも影響を受け、悪意のあるアウトバウンド接続も開始される可能性があります。 これには、企業がサプライチェーンからのトラフィックを監視および監査し、検出されたリスクを最も早い機会に追跡および処理する必要があります。

    • アウトバウンドトラフィックのコンプライアンスリスク

      特定の業界規制当局と内部セキュリティ監査チームは、システムセキュリティを改善するためのアウトバウンドトラフィックに対する明確で厳格な規制要件を述べています。 たとえば、Payment Card Industry Data Security Standard (PCI DSS) v4.0の1.3.2要件では、カード所有者データ環境 (CDE) からのアウトバウンドトラフィックを制御する必要があります。 詳細については、PCI DSS v4.0をご覧ください。 要件では、必要と見なされるアウトバウンドトラフィックのみが許可されます。 他のすべての送信トラフィックをブロックする必要があります。 この要件は、物理ネットワーク内の悪意のある個人や侵害されたシステムコンポーネントが信頼できない外部ホストと通信するのを防ぐために設計されています。 したがって、企業は、アウトバウンドトラフィックの厳格なセキュリティ管理と監査も実行する必要があります。

    ソリューション

    アウトバウンドトラフィックのセキュリティを確保するために、企業はNATゲートウェイとNATファイアウォールソリューションを使用して、アウトバウンドトラフィックを効率的に監視および保護できます。

    • NATゲートウェイを使用すると、クラウドサーバーがインターネットにアクセスするためのSNATおよびDNATエントリを作成できます。 NATゲートウェイのSNATエントリを設定した後、Elastic Compute Service (ECS) インスタンスがアウトバウンド接続を開始すると、ECSインスタンスはSNATアドレスプールのelastic IPアドレス (EIP) を使用してインターネットにアクセスします。 これにより、プライベートネットワークがインターネットに直接公開されるのを防ぎ、資産のセキュリティを向上させます。

    • NATファイアウォールはCloud Firewallによって提供されます。 NATファイアウォールは、仮想プライベートクラウド (VPC) 内のECSインスタンスやelastic containerインスタンスなどのリソースから、NATゲートウェイを介してインターネットへのレイヤー4からレイヤー7のネットワークトラフィックを保護できます。 NATファイアウォールは、不正アクセス、データ漏洩、ネットワークトラフィック攻撃などのセキュリティリスクを軽減するために、不正トラフィックを監査および遮断できます。 NAT GatewayのSNATルールと比較して、Cloud Firewallのアクセス制御ポリシーは、指定された宛先IPアドレス、宛先ドメイン名、宛先リージョン、プロトコル、ポート、およびアプリケーションをきめ細かく制御できます。

    image

    ソリューションアーキテクチャ

    シナリオ1: 複数のVPC間のアウトバウンドトラフィックの保護

    企業は、クラウド内のデータセンターシステムに重点を置いています。 エンタープライズには、本番VPCとテストVPCを含む2つのVPCがあります。 Java Archive (JAR) パッケージのスタートアップ更新など、ルーチン開発環境の2つのVPCには外部ソフトウェア呼び出しが必要です。 企業の従業員は通常のサービスにのみアクセスでき、不正なアウトバウンド接続を開始できません。 これにより、セキュリティリスクを防ぎます。

    デプロイ方法

    • 各VPCにNATゲートウェイをデプロイします。 NATゲートウェイのSNATエントリを設定し、プライベートネットワーク内のECSインスタンスがNATゲートウェイのEIPを使用してインターネットにアクセスできるようにします。

    • 各NATゲートウェイにNATファイアウォールをデプロイし、各NATファイアウォールのアクセス制御ポリシーを設定して、不正なIPアドレスとドメイン名へのアクセスをブロックします。

    image

    シナリオ2: DMZ VPCのアウトバウンドトラフィックの保護

    金融機関は主にクラウドで証券および保険サービスに従事しており、ミッドエンドVPC、サードパーティシステムVPC、見積VPCなどの複数のビジネスVPCを持っています。 すべてのVPCは、非武装地帯 (DMZ) を使用してインターネットにアクセスします。 日常的な環境では、機関は、外部支払いサービス、外部見積もりサービス、および規制サービスにアクセスする必要があります。 通常のサービスへのアクセスを許可し、不正なアウトバウンド接続をブロックする必要があります。 許可されていないアウトバウンド接続はセキュリティリスクを引き起こします。 機関は、異常なトラフィックおよび攻撃を最も早い機会に検出するために、すべてのアウトバウンドトラフィックをリアルタイムで監視および監査する必要があります。

    デプロイ方法

    • DMZ VPCにNATゲートウェイをデプロイします。 NATゲートウェイのSNATエントリを作成し、プライベートネットワーク内のECSインスタンスがNATゲートウェイのEIPを使用してインターネットにアクセスできるようにすることができます。 他のVPCは、Cloud Enterprise Network (CEN) インスタンスを使用してDMZ VPCにアクセスできます。

    • DMZ VPCにデプロイされたNATゲートウェイのNATファイアウォールを作成し、NATファイアウォールのアクセス制御ポリシーを設定して、不正なIPアドレスとドメイン名のトラフィックをブロックします。

    image

    シナリオ3: VPC内の複数のvSwitchのアウトバウンドトラフィックの保護

    大規模な多国籍組織内の単一のVPCのアクセストラフィックは複雑であり、多数の外部システムがVPCにデプロイされています。 したがって、セキュリティ保護は、異なる資産に対して実装されなければならず、よりきめ細かい方法でセキュリティポリシーが必要とされる。

    デプロイ方法

    • NAT Gatewayは、異なるvSwitchに基づいてビジネスVPCにデプロイされます。 複数のEIPがNATゲートウェイの1つに関連付けられています。 NATゲートウェイのSNATエントリを設定して、プライベートネットワーク内のECSインスタンスがNAT EIPを関連付けてインターネットにアクセスできるようにします。

    • NATファイアウォールは各NATゲートウェイにデプロイされています。 各NATファイアウォールのアクセス制御ポリシーを作成して、不正なIPアドレスとドメイン名のトラフィックをブロックします。

    image

    展開ガイダンス

    手順1: NATゲートウェイのデプロイ

    1. NAT Gatewayコンソールにログインし、VPCのインターネットNATゲートウェイを作成します。 詳細については、「インターネットNATゲートウェイの作成」をご参照ください。

    2. 作成したインターネットNATゲートウェイにEIPを関連付けます。 詳細については、「インターネットNATゲートウェイの作成と管理」をご参照ください。

      重要

      インターネットNATゲートウェイは、EIPに関連付けた後にのみ、想定どおりに機能します。

    3. インターネットNATゲートウェイのSNATエントリを作成し、パブリックIPアドレスを持たないECSインスタンスがインターネットにアクセスできるようにします。 詳細については、「SNATエントリの作成と管理」をご参照ください。

      Cloud FirewallのNAT Firewall機能は、SNATエントリが設定されているNATゲートウェイのみをサポートし、DNATエントリは含まれていません。 それ以外の場合、NATファイアウォールを有効にすることはできません。

    ステップ2: NATファイアウォールの作成と有効化

    前提条件

    • Cloud Firewallが有効化され、NATファイアウォールの十分なクォータが購入されます。 詳細については、「Cloud Firewall の購入」をご参照ください。

    • インターネットNATゲートウェイが作成されます。 詳細については、「VPC の作成と管理」をご参照ください。

      重要

      NATファイアウォール機能は、インターネットNATゲートウェイのみをサポートします。

      インターネットNATゲートウェイは、次の要件を満たす必要があります。

      • インターネットNATゲートウェイは、NATファイアウォール機能が使用可能なリージョンにあります。 NATファイアウォール機能が使用可能なリージョンの詳細については、「サポートされているリージョン」をご参照ください。

      • 少なくとも1つのEIPがインターネットNATゲートウェイに関連付けられており、NATゲートウェイに関連付けられているEIPの数は10以下です。 詳細については、「インターネットNATゲートウェイの作成と管理」をご参照ください。

      • SNATエントリが作成され、インターネットNATゲートウェイにはDNATエントリが存在しません。 詳細については、「SNATエントリの作成と管理」をご参照ください。

        インターネットNATゲートウェイにDNATエントリが存在する場合、NATファイアウォールを有効にする前にDNATエントリを削除する必要があります。 詳細については、「DNATエントリの作成と管理」をご参照ください。

      • インターネットNATゲートウェイを指す0.0.0.0ルートが、インターネットNATゲートウェイのVPCに追加されます。 詳細については、「ルートテーブルの作成と管理」をご参照ください。

      • インターネットNATゲートウェイのVPCに割り当てられているCIDRブロックのサブネットマスクの長さは少なくとも28ビットです。

    手順

    作成したNATゲートウェイがNATゲートウェイリストに表示されない場合、[NATファイアウォールタブ] の右上隅にある [アセットの同期] をクリックして、NATゲートウェイに関する情報を同期できます。 NATゲートウェイに関する情報を同期するには、5〜10分かかります。

    1. Cloud Firewall コンソール にログインします。 左側のナビゲーションウィンドウで、[ファイアウォール設定] をクリックします。

    2. NAT Firewall タブをクリックします。 [NAT Firewall] タブで、必要なNATゲートウェイを見つけ、操作する 列の [作成] をクリックします。

    3. [NATファイアウォールの作成] パネルで、NATファイアウォールを作成して有効にします。 詳細については、「NATファイアウォール」をご参照ください。

    4. NATファイアウォールが作成されたら、NATファイアウォールを見つけて、[スイッチ] 列でスイッチをオンにします。

      image

    手順3: アクセス制御ポリシーの設定

    1. Cloud Firewall コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、予防設定 > アクセス制御 > NAT 境界.

    3. NAT 境界 ページで、アクセス制御ポリシーを作成するNATゲートウェイを見つけ、Create Policy をクリックします。

      現在のAlibaba Cloudアカウント内のNAT Gatewayは、Cloud Firewallに自動的に同期されます。

      image..png

    4. [ポリシーの作成-NATボーダー] パネルでパラメーターを設定し、[OK] をクリックします。 詳細については、「NATファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

      image

    ステップ4: NATファイアウォールが有効かどうかを確認する

    1. VPCのECSインスタンスにログインし、curl wwwなどのcurlコマンドを実行します。テストを実行します。インターネットへのアクセスをシミュレートします。 ECSインスタンスへのログイン方法の詳細については、「ECS インスタンスへの接続方法」をご参照ください。

    2. Cloud Firewall コンソール にログインします。

    3. 左側のナビゲーションウィンドウで、ログモニタリング > ログ監査を選択します。

    4. [トラフィックログ] > [NAT Border] タブで、送信元IPアドレスパラメーターをECSインスタンスの内部IPアドレスに設定して、トラフィックログを検索します。 作成されたアクセス制御ポリシーが有効な場合、NATファイアウォールはNATゲートウェイのアウトバウンドトラフィックを保護します。

      image

    O&Mガイダンス

    異常なトラフィックの分析

    ステップ1: NAT境界に過剰なトラフィックが存在するかどうかを確認する

    1. Cloud Firewall コンソール にログインします。 左側のナビゲーションウィンドウで、[概要] をクリックします。

    2. [概要] ページで、トラフィックの傾向を表示し、特定の時点で異常なトラフィックのピークが存在するかどうかを確認します。

      説明

      トラフィックのピークがNAT Gatewayの購入済み保護帯域幅を超える場合、購入済み保護帯域幅がトレンドチャートに表示されます。 これにより、購入した保護帯域幅を超えるトラフィックの量を特定できます。

      image

    異常なトラフィックのピークが特定された場合は、アウトバウンド接続を開始するアセットの詳細を表示して、異常なIPアドレスを特定する必要があります。 詳細については、「手順2」をご参照ください。

    ステップ2: アウトバウンド接続を開始するアセットの詳細に基づいて異常なIPアドレスを見つける

    1. Cloud Firewall コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[トラフィック分析] > [送信接続] を選択します。

    3. [アウトバウンドトラフィック] > [アウトバウンドプライベートIPアドレス] タブで、アクセストラフィックに基づいてIPアドレスを並べ替え、過度のアクセストラフィックがあるIPアドレスを確認して、異常なアクセスが存在するかどうかを確認します。

      image

    IPアドレスが異常なアクセストラフィックを生成する場合は、ログ監査データに基づいて詳細を確認できます。 詳細については、「手順 3」をご参照ください。

    ステップ3: ログ監査データに基づいてワークロードで異常なトラフィックが必要かどうかを確認する

    1. Cloud Firewall コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ログモニタリング] > [ログ監査] を選択します。

    3. [トラフィックログ] > [NAT Border] タブで、送信元IPアドレスパラメーターをECSインスタンスの内部IPアドレスに設定してトラフィックログを検索し、送信元IPアドレス送信元ポート、および送信先ポートパラメーターの値を表示して、ワークロードで異常なトラフィックが必要かどうかを判断します。

      image

    O&Mの提案

    異常なピークトラフィックを特定し、ワークロードでトラフィックが必要であると判断した場合は、次の提案に基づいてO&Mを実行できます。

    • クラウドファイアウォールの保護された帯域幅を増やす

      詳細については、「更新」をご参照ください。

    • ビジネス展開の最適化

      たとえば、サービスがAlibaba Cloud Object Storage service (OSS) またはSimple Log Serviceにアクセスする必要がある場合、インターネット経由のトラフィックを減らすために内部エンドポイントを使用することを推奨します。 詳細については、「リージョンとエンドポイント」および「エンドポイント」をご参照ください。

    • 保護したくないIPアドレスのファイアウォールを無効にする

      詳細については、「NATファイアウォールの無効化」をご参照ください。