すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:インフラストラクチャセキュリティ

    ドキュメントセンター

    Virtual Private Cloud:インフラストラクチャセキュリティ

    最終更新日:Dec 08, 2025

    このトピックでは、仮想プライベートクラウド (VPC) のインフラストラクチャセキュリティについて説明します。

    ネットワーク分離

    仮想プライベートクラウド (VPC) は、Alibaba Cloud 上のプライベートネットワークです。 VPC は相互に分離されています。

    vSwitch は VPC の基本コンポーネントであり、異なるインスタンスを接続するために使用されます。 複数の vSwitch を作成して VPC を分割し、異なる vSwitch に Elastic Compute Service (ECS) インスタンスをデプロイできます。 vSwitch を相互に分離できます。 各 vSwitch には CIDR ブロックとルートテーブルがあります。 ルートテーブルを使用してアクセスの制御を有効にできます。

    ネットワークトラフィックの制御

    次のいずれかの方法を使用して、VPC のネットワークトラフィックを制御できます。

    • VPC に ECS インスタンスを作成する際に、デフォルトのセキュリティグループルールを使用するか、VPC 内の他のセキュリティグループを選択して、ECS インスタンスのアウトバウンドトラフィックとインバウンドトラフィックを制御できます。 セキュリティグループは、VPC 内の仮想ファイアウォールであり、ECS インスタンスとの間のトラフィックを制御します。 同じセキュリティ要件を持ち、相互に信頼する ECS インスタンスを同じセキュリティグループに配置して、セキュリティドメインを分割し、クラウドリソースを保護できます。 さらに、ネットワーク ACL は、vSwitch との間のトラフィックを制御できます。 同じネットワーク ACL を複数の vSwitch にアタッチして、これらの vSwitch のトラフィックを一様に制御できます。 セキュリティグループとネットワーク ACL を一緒に使用することで、VPC 内のリソースを効果的に保護できます。

    • IPv4 ゲートウェイは、VPC の境界にあるコンポーネントであり、パブリック IPv4 トラフィックを制御します。 IPv4 ゲートウェイをルートテーブル構成と共に使用して、すべてのトラフィックを単一のゲートウェイ経由でインターネットにルーティングできます。 これにより、分散アクセスに関連するセキュリティリスクが軽減されます。

    • IPv6 ゲートウェイは、VPC のパブリック IPv6 トラフィックゲートウェイです。 IPv6 インターネット帯域幅構成送信専用ルールを使用して、インバウンドおよびアウトバウンド IPv6 トラフィックを柔軟に制御できます。

    • カスタムルートテーブルを作成し、vSwitch にアタッチして、カスタムルートエントリを追加することで、vSwitch のトラフィックを制御し、より柔軟なネットワーク管理を実現できます。

    • VPC ピアリング接続を作成し、両端の VPC のルートを構成することで、VPC 間のプライベート接続を確立できます。 ピアリング接続機能は、同じアカウントまたは異なるアカウントに属し、同じリージョンまたは異なるリージョンにある VPC 間の接続をサポートします。 接続を構成する前に、2 つの VPC の CIDR ブロックが重複していないことを確認する必要があります。

    • Cloud Enterprise Network は、マルチ VPC 相互接続のソリューションです。 企業内の複数の VPC 間のネットワーク通信を可能にし、柔軟で信頼性の高い大規模なエンタープライズレベルのクラウドネットワークを作成します。

    • Express ConnectVPN Gateway を使用して、Alibaba Cloud VPC とオンプレミスデータセンター、オフィスターミナル、または他のクラウドプロバイダーのネットワーク間の通信を確立できます。

    • ゲートウェイエンドポイントは仮想ゲートウェイデバイスです。 VPC 内の Alibaba Cloud サービスのゲートウェイエンドポイントを作成し、ルートテーブルに関連付けると、システムはネクストホップがゲートウェイエンドポイントを指すルートを自動的に追加します。 これにより、Alibaba Cloud サービスへのプライベートアクセスが可能になります。

    • VPC の フローログ機能を使用して、VPC ネットワーク内の Elastic Network Interface (ENI) のインバウンドトラフィックとアウトバウンドトラフィックをキャプチャできます。 これにより、アクセスコントロールルールの確認、ネットワークトラフィックの監視、ネットワークエラーのトラブルシューティングを行うのに役立ちます。

    ネットワーク ACL とセキュリティグループの比較

    Alibaba Cloud は、セキュリティグループとネットワーク ACL という 2 つのアクセス制御方法を提供しています。 これらを使用して、VPC 内のインスタンスレベルまたは vSwitch レベルでネットワーク分離を実装できます。

    項目

    セキュリティグループ

    ネットワーク ACL

    		image

    適用範囲

    インスタンスレベル

    1 つ以上の ECS インスタンスにセキュリティグループをアタッチします。

    vSwitch レベル

    1 つ以上の vSwitch にネットワーク ACL をアタッチします。

    動作モード

    ステートフル。 戻されたパケットは自動的に許可されます。

    たとえば、ポート 80 でのインバウンドトラフィックを許可するには、リクエストのインバウンドルールを追加します。 対応する レスポンストラフィックは自動的に許可されるため、アウトバウンドルールは必要ありません。

    ステートレス。 戻されたパケットは手動で許可する必要があります。

    たとえば、ポート 80 でのインバウンドトラフィックを許可するには、リクエストのインバウンドルールと レスポンスのアウトバウンドルールを追加する必要があります。

    グループ内制御ポリシー

    基本セキュリティグループ: インスタンス間のトラフィックを許可するか拒否するかを選択します。

    エンタープライズセキュリティグループ: 内部分離はデフォルトで有効になっています。

    同じ vSwitch 内にある ECS インスタンス間のトラフィックは制御しません。

    アプリケーションシナリオ

    インスタンス間のアクセスを制御し、ポートでパブリックインバウンドトラフィックを許可します。

    vSwitch レベルで分離し、vSwitch 全体にアクセス ポリシーを適用します。