プロダクト紹介
Cloud Firewall(クラウドファイアウォール)とは
Cloud Firewallは、AlibabaCloudがパブリッククラウド向けに提供する最初のFirewallas a Service(FWaaS)ソリューションです。クラウドファイアウォールを使用すると、インターネットからECSインスタンスへの南北トラフィックを制御するために使用されるアクセス制御ポリシーと、ECSインスタンス間の東西トラフィックを制御するために使用されるマイクロセグメンテーションポリシーを一元管理できます。クラウドファイアウォールは、組み込みの侵入防止システム(IPS)を提供します。IPSを使用すると、ネットワーク全体のトラフィックとビジネス間のアクセス関係を表示できます。Cloud Firewallは、AlibabaCloudに移行されたビジネスを保護するために使用される主要なインフラストラクチャです。
クラウドファイアウォールの保護範囲
クラウドファイアウォールは、次のクラウド資産またはトラフィックを保護できます。
インターネットトラフィック:Elastic Compute Service(ECS)のパブリックIPアドレス、Server Load Balancer(SLB)のエラスティックIPアドレス(EIP)、SLBの一部のパブリックIPアドレス、高可用性仮想IPアドレス(HAVIP)、EIP、EIPからのトラフィックECS、Elastic Network Interface(ENI)のEIP、およびNetwork Address Translation(NAT)GatewayのEIP
注:AlibabaCloudは、パブリックおよびプライベートSLBインスタンスを提供します。一部のパブリックSLBインスタンスは、ネットワークアーキテクチャ上の理由により、クラウドファイアウォールで保護できません。プライベートSLBインスタンスをデプロイし、EIPをプライベートSLBインスタンスに関連付けることをお勧めします。
特徴
注:AlibabaCloudは、パブリックおよびプライベートSLBインスタンスを提供します。一部のパブリックSLBインスタンスは、ネットワークアーキテクチャ上の理由により、クラウドファイアウォールで保護できません。プライベートSLBインスタンスをデプロイし、EIPをプライベートSLBインスタンスに関連付けることをお勧めします。
次の表に、クラウドファイアウォールの機能とこれらの機能を提供するエディションを示します。
| シナリオ | 特徴 | 説明 | サポートされているエディション |
|---|---|---|---|
| オンクラウドネットワークのアクセストラフィック分析と攻撃検出 | 概要概要 | 有効または無効になっている防御機能の概要、過去7日間のアクセストラフィックの統計、および検出されたセキュリティリスクについて説明します。 | すべての有料版 |
| アクセス制御 | インターネットファイアウォール | 南北トラフィックに対する双方向アクセス制御と、アウトバウンド接続のトラフィックを厳密に制御するためのドメイン名ベースのアクセス制御をサポートします。 | すべての有料版 |
| VPCファイアウォール | VPC間のトラフィックを制御します。 | EnterpriseEditionおよびUltimateEdition | |
| 内部ファイアウォール | 内部ネットワーク上のECSインスタンス間で東西のトラフィックを分離します。 | すべての有料版 | |
| ネットワークトラフィックのリアルタイム監視と分析 | アウトバウンド接続 | クラウド資産のアウトバウンド接続をリアルタイムで監視します。 | すべての有料版 |
| インターネット・アクセス | オンクラウドネットワークのアクセストラフィックの統計を収集して分析します。 | すべての有料版 | |
| VPCアクセス | VPC間のトラフィックをリアルタイムで監視するため、VPCトラフィックデータをリアルタイムで取得し、疑わしいトラフィックをタイムリーに識別して処理できます。 | EnterpriseEditionおよびUltimateEdition | |
| 違反の認識 | 侵入防止システム(IPS)によって検出された侵入イベントと、侵入イベントの解決策に関する詳細を提供します。 | すべての有料版 | |
| IPSによってブロックされたトラフィック | クラウドファイアウォールによってブロックされているアクセストラフィックの統計を提供します。 | すべての有料版 | |
| すべてのアクセスアクティビティ | クラウドファイアウォールを通過し、指定された条件を満たすトラフィックをクエリできます。 | すべての有料版 | |
| 侵入防止 | 脆弱性の防止 | ネットワーク攻撃によって悪用される可能性のある脆弱性を検出し、これらの脆弱性に対する防御を提供します。 | すべての有料版 |
| 侵入防止 | •侵入をリアルタイムでインテリジェントに検出してブロックします。クラウドファイアウォールとIPSによってブロックされたネットワークトラフィックを分析します。 | すべての有料版 | |
| •Alibaba Cloud全体で検出されたすべての悪意のあるIPアドレスを同期し、悪意のある訪問者、スキャナー、コマンドアンドコントロールサーバーなどの潜在的な脅威から防御します。 | |||
| •侵入防止ポリシーのベストプラクティスをAlibabaCloudに統合して、脅威検出の高精度を確保します。 | |||
| •ビジネスシステム用のインストール不要の仮想パッチをサポートします。一般的に発生する脆弱性と、リスクの高いゼロデイおよびN日の脆弱性から保護します。 | |||
| ログ | ログ監査 | •ログ監査と動作バックトラックを提供します。IPSによって検出およびブロックされた脅威または侵入をリアルタイムで表示するイベントログを提供します。 | すべての有料版 |
| •クラウドファイアウォールを通過するトラフィックを記録するためのトラフィックログを提供します。脅威が発生した場合、トラフィックログを表示してトラフィックを分析し、その送信元を特定し、設定されたアクセス制御ポリシーが有効かどうかを確認できます。 | |||
| •クラウドファイアウォールのすべての構成と操作を記録するためのシステム操作ログを提供します。 | |||
| ログ分析 | インバウンドおよびアウトバウンドのトラフィックログをリアルタイムで自動的に収集、保存、分析し、指定されたメトリックに基づいてリアルタイムの監視とアラートをサポートします。これにより、重要なビジネスで例外が発生した場合にタイムリーな対応が保証されます。ログは最大6か月間保存できます。 | すべての有料版 | |
| 一般的なネットワークトラフィック検出ツール | ツールボックス | パケットキャプチャ、ポリシーのバックアップとロールバック、セキュリティグループ構成チェックなどの機能を提供します。これは、クラウドファイアウォールを通過するネットワークトラフィックを完全に理解するのに役立ちます。 | •セキュリティグループの構成チェックと機密保護コンプライアンスチェックは、無料のトレイルエディションとすべての有料エディションで利用できます。 |
| •パケットキャプチャとポリシーのバックアップとロールバックは、有料版でのみ利用できます。 | |||
| ビジネスの視覚化 | セキュリティグループとアプリケーショングループの視覚化 | 資産の情報とアクセス関係を提供します。 | すべての有料版 |
| カスタムグループの視覚化 | カスタムグループを作成して、クラウド資産のアプリケーション、アプリケーショングループ、およびビジネスグループ間の関係を構築できます。 | すべての有料版 |
利点
クラウドファイアウォールは、クラウド上で最初のサービスとしてのファイアウォール(FWaaS)ソリューションです。ネットワークを保護するために、南北および東西のトラフィックを一元的に管理します。Cloud Firewallのすぐに使える機能により、使いやすくなっています。さらに、クラウドファイアウォールは、正確なアクセス制御とネットワーク全体のトラフィックの視覚化をサポートします。
フルマネージドサービス
Cloud Firewallは、パブリッククラウドプラットフォームであるAlibabaCloudで利用できる最初のFWaaSソリューションです。ソフトウェア定義ネットワーク(SDN)テクノロジーを採用しています。クラウドファイアウォールは、ファイアウォールイメージのインストールやルーティング構成など、複雑なデバイスの展開やシステム構成から解放されるフルマネージドサービスです。さらに、ディザスタリカバリ、スケールアウト、またはアクセスの問題に注意を払う必要はありません。
使いやすさ
Cloud Firewallエディションを購入し、コンソールで必要な構成を完了したら、すぐにCloudFirewallを使用してネットワークを防御できます。クラウドファイアウォールは、ネットワークセキュリティ制御とO&Mのコストを効果的に削減します。
スムーズなスケーリング
クラウドファイアウォールはクラスターモードで展開され、スムーズなスケーリングをサポートします。IPアドレスごとに最大2ギガビット/秒の防御機能を提供します。ビジネス要件に基づいて防御機能をカスタマイズできます。
分類された保護要件への準拠
クラウドファイアウォールは、境界保護やアクセス制御などの分類された保護要件を満たしています。
シナリオ
Cloud Firewallは、AlibabaCloudに移行したビジネスのネットワークセキュリティを確保するために展開できる主要なインフラストラクチャです。クラウドファイアウォールは、ネットワーク全体のトラフィック識別、一元化されたポリシー管理、侵入検知、ログ監査などのコア機能を提供します。
Cloud Firewallは、インターネットからECSインスタンスへのトラフィック、ECSインスタンスからインターネットへのトラフィック、およびECSインスタンス間のトラフィックを制御します。
インターネットファイアウォールのアクセス制御
インターネット上のインバウンドおよびアウトバウンドトラフィックを制御し、ハッカーの侵入、マイニングアクティビティ、悪意のあるトラフィックなど、インターネットからの攻撃や脅威を傍受します。
内部ファイアウォールのアクセス制御
内部ネットワーク上のECSインスタンス間のトラフィックを制御し、ビジネスを分離して、特定のECSインスタンスのリスクがクラウド上のビジネスにセキュリティの脅威をもたらさないようにします。
VPCファイアウォールのアクセス制御
VPC間のトラフィックを制御します。
侵入防止
クラウド資産のアウトバウンド接続、インターネットアクセストラフィック、および内部ネットワーク上のECSインスタンス間のトラフィックを検出および分析します。これにより、ネットワークトラフィックをリアルタイムで監視し、リスクのあるクラウドアセットを特定し、異常なアクティビティをリアルタイムで停止してリスクを防ぐことができます。
トラフィックの視覚化
資産情報とアクセス関係を提示して、疑わしいトラフィックをリアルタイムで特定するのに役立ちます。
分類された保護コンプライアンス
6か月を超えるクラウド資産のログを保存します。これは、Webサイトが分類された保護コンプライアンス要件を満たすのに役立ちます。
FAQ
Cloud FirewallはパブリックSLBインスタンスを保護できますか?
Alibaba Cloudは、パブリックおよび内部のSLBインスタンスを提供します。一部のパブリックSLBインスタンスは、ネットワークアーキテクチャ上の理由により、クラウドファイアウォールで保護できません。内部SLBインスタンスをデプロイし、EIPを内部SLBインスタンスに関連付けることをお勧めします。
注:使用中でクラウドファイアウォールによって保護されていないパブリックSLBインスタンスの場合、インスタンスのネットワークタイプを自分で変更しないことをお勧めします。ヘルプが必要な場合は、SLBテクニカルサポートに連絡してください。
異なるエディションのクラウドファイアウォールの保護された帯域幅の割り当ては何ですか?
Cloud Firewallは、インターネットトラフィックとVPC間のトラフィックを保護できます。異なるエディションのクラウドファイアウォールには、異なる保護帯域幅割り当てがあります。
- インターネットトラフィックの場合、1か月あたりのデフォルトの保護帯域幅割り当ては、PremiumEditionでは10Mbit / s、EnterpriseEditionでは50Mbit / s、UltimateEditionでは200Mbit / sです。
- VPC間のトラフィックの場合、1か月あたりのデフォルトの保護帯域幅割り当てはEnterpriseEditionでは100Mbit / s、UltimateEditionでは1Gbit / sです。PremiumEditionでは保護は提供されません。
用語集
インターネットファイアウォール
インターネットファイアウォールは、インターネットとクラウド資産間のトラフィックを監視して一元管理します。インターネットファイアウォールは次のように機能します。
インターネットファイアウォールの組み込みの侵入防止モジュールを使用すると、被害者のサーバーを検出し、サーバーによって開始された外部接続をブロックし、クラウドサービス間の接続を表示できます。インターネットファイアウォールは、SaaSモデルに基づいて提供されます。イメージファイルを使用すると、複雑なネットワーク構成やファイアウォールのインストールなしでファイアウォールをすばやく有効にできます。インターネットファイアウォールはデフォルトでクラスターに展開され、スムーズなスケールアップをサポートします。
VPCファイアウォール
VPCファイアウォールは、2つのVPCネットワーク間のトラフィックを監視する分散ファイアウォールです。VPCファイアウォールは次のように機能します。
VPCファイアウォールは、Express Connectによって接続されているか、VPCネットワークの同じCENインスタンスにバインドされている2つのVPCネットワーク間に展開できます。VPCファイアウォールはデフォルトでは作成されません。VPCファイアウォールを作成するには、2つのVPCネットワークを指定する必要があります。
セキュリティグループは、ECSが提供する分散仮想内部ファイアウォールです。ポートステータスの監視とパケットフィルタリングを提供します。セキュリティグループを使用して、ECSインスタンス間のアクセス制御を構成できます。同じリージョンのECSインスタンスのグループにセキュリティグループが設定されます。これらのインスタンスには同じセキュリティ要件があり、相互に信頼しています。ECSインスタンスを作成するときは、少なくとも1つのセキュリティグループを指定する必要があります。
クラウドファイアウォールが提供する内部ファイアウォールは、セキュリティグループに基づいています。内部ファイアウォールポリシーを構成するには、[クラウドファイアウォール] > [内部ファイアウォール]を選択するか、ECSコンソールの[セキュリティグループ]構成ページに移動します。構成は、2つのプラットフォーム間で自動的に同期されます。
外部接続
Cloud Firewallは、ECSインスタンスによって開始された外部接続を分析します。外部接続データを監視することで、疑わしいサーバーを検出できます。
侵入検知
侵入検知モジュールは、ネットワークトラフィックを監視し、疑わしいイベントを検出します。モジュールは、疑わしいイベントについてアラートを送信するか、直接処理します。Cloud Firewallは、過去10年間に構築されたAlibabaCloudの侵入検知および防止機能を統合します。Cloud Firewallは、ファイアウォールを通過するトラフィックに対してリアルタイムのデータ収集と分析を実行します。クラウドファイアウォールを使用して、被害者のサーバーを検出し、疑わしいネットワークアクティビティをブロックできます。
アプリケーションを開き、ポートを開き、パブリックIPアドレスを開きます
オープンアプリケーションは、インターネットに公開されているアプリケーションです。たとえば、HTTPとSSH。
開いているポートは、インターネットに公開されているポートです。たとえば、ポート80とポート22です。
オープンパブリックIPアドレスは、インターネットに公開されているアセットのパブリックIPアドレスです。
Cloud Firewallは、次のタイプのパブリックIPアドレスを識別できます。
- EIPアドレス。VPCネットワークのECSインスタンス、VPCネットワークのSLBインスタンス、ENIインスタンス、またはNATゲートウェイにバインドできます。
- NatPublicIp、ECSインスタンスに割り当てられたパブリックIPアドレス。
アプリケーショングループ
東西ビジネス視覚化モジュールでは、アプリケーショングループは、同じまたは類似のサービスを提供するアプリケーションのセットです。たとえば、MySQLとともにデプロイされるすべてのECSインスタンスをデータベースアプリケーショングループに追加できます。
ビジネスグループ
東西ビジネス視覚化モジュールでは、ビジネスグループには、特定のビジネスに関連するすべてのアプリケーショングループが含まれます。たとえば、Webポータルビジネスグループには、Webアプリケーショングループとデータベースアプリケーショングループが含まれます。
脆弱なアプリケーショングループは、ポート445など、特定の脆弱なポートが開いているアプリケーションのセットです。各脆弱なポートは、脆弱なアプリケーショングループに対応します。
脆弱なビジネスグループは、脆弱なアプリケーショングループのセットです。
脆弱なビジネスグループとアプリケーショングループを使用して、脆弱なポートを開いている、または脆弱なポートにアクセスしたECSインスタンスを見つけることができます。
Cloud Firewallは、脆弱なビジネスグループを自動的に作成し、脆弱なビジネスをグループに追加します。
独立事業グループ、従属事業グループ
東西のトラフィック視覚化モジュールでは、これらの概念は2つのビジネスグループ間のアクセス関係を反映しています。たとえば、ビジネスグループAがビジネスグループBのリソースにアクセスする場合、ビジネスグループBは独立したグループであり、ビジネスグループAは従属グループです。
最初の訪問トラフィック
最初の訪問トラフィックとは、指定された期間内の最初の訪問中に送信元IPアドレスから宛先IPアドレスへのトラフィックを指します。最初の訪問の時間、送信元と宛先のIPアドレス、およびその他の情報に基づいて、最初の訪問の原因を分析できます。初回訪問トラフィックは、侵入またはサービスのアクティブ化によって生成される可能性があります。
住所録
Cloud Firewallを使用すると、IPアドレスまたはポート番号のアドレス帳を作成できます。これにより、より効率的なファイアウォール構成が可能になります。アドレス帳を参照して、このアドレス帳のすべてのIPアドレスまたはポートをすばやく構成できます。
Cloud Firewallは、次の種類のアドレス帳をサポートしています。
- IPアドレス帳
- ポートアドレス帳
- ECSタグアドレス帳。ECSタグのグループを指定すると、Cloud Firewallは、これらのタグを持つECSインスタンスのパブリックIPアドレスを特定のECSタグアドレス帳に自動的に追加します。
アドレス帳には次のルールが適用されます。
- Cloud Firewallには、グローバルアドレス帳が組み込まれています。これらのアドレス帳を変更または削除することはできません。
- IPアドレスまたはポート番号を複数のアドレス帳に追加できます。
- アドレス帳のIPアドレスまたはポート番号の変更は、アクセス制御ポリシーに自動的に適用されます。