フォーム読み込み中
ご覧頂き有難うございます。ソフトバンクの西野です。
AlibabaCloudのCloud Firewallはサブスクリプションプランのみでしたが、新たに従量課金プランがリリースされました。
前回私が書いたCloudFirewallのご紹介からアップデートされた情報を改めて紹介します。
AlibabaCloudがマネージドで提供するSaaS型のFirewallサービスになります。
高可用のあるFirewallサービスを既存環境に対し構成変更をせずに導入することが可能です。
Internet Firewall、NAT Firewall、VPC Firewall、Internal Firewallという4つのFirewallから構成されております。
前回掲載した記事から新たに追加されたNAT Firewall機能がございます。
NAT FirewallはNAT Gatewayへの全ての送信トラフィックを監視します。NAT Firewallは、トラフィックに関する情報をユーザー定義のポリシー及び脅威インテリジェンスライブラリと照合しトラフィックを許可するかどうかを決定します。
インターネットへの不正アクセスをブロックすることが可能です。
ログには送信元アドレス、宛先アドレス、ポート、プロトコル、アプリケーション、ドメイン名が含まれます。
ただNAT Firewallを提供しているリージョンは2024年3月時点ではシンガポール、香港しかないので提供拡大が待ち望まれますね。
その他の機能の詳細については以前掲載したCloud Firewallの紹介記事を参照ください。
従来のサブスクリプション型では一番安い料金プランでもPremium Edition $420~とEIP 20個分、処理帯域10Mbpsが含まれている料金プランとなりAlibabaCloudを一定の規模感で利用していないユーザにとって導入するハードルが高い製品でした。
従量課金プランでは保護するEIP数、処理したトラフィック量に基づいた課金となり、ミニマムな構成でも導入しやすい課金プランとなります。
従量課金プランとサブスクリプションプランプランの計4つの機能差分を表に記載いたしました。表のとおり従量課金プランはInternet Firewall、NAT Firewall機能を使用することが可能です。
項目 | 従量課金プラン | Premium Edition | Enterprise Edition | Ultimate Edition |
月額基本料金 | - | 420 USD | 1,450 USD | 3,900 USD |
Internet Firewall | ○ | ○ | ○ | ○ |
VPC Firewall | × | ○ | ○ | ○ |
NAT Firewall | ○ | ○ | ○ | ○ |
トラフィック分析 | × | ○ | ○ | ○ |
侵入防止 | ○ | ○ | ○ | ○ |
マルチアカウント管理 | × | ○ | ○ | ○ |
課金項目としてはパブリックIPアドレス設定料金 / インターネットトラフィック処理数 / NAT Firewall数 / NAT Firewallにより処理されるトラフィック数の料金があります。
課金対象 | 単価 |
パブリックIPアドレスの設定料金 | 保護するパブリックIP数 × 設定日数 × 0.2 USD |
インターネットトラフィックの処理料金 | 双方向のインターネットトラフィック(GB) × 0.06 USD |
NAT Firewallの料金 | NAT Firewall数 × 設定日数 × 1.58 USD |
プライベートネットワーク処理料金 | プライベートネットワーク送信トラフィック(GB) × 0.06 USD |
従量課金プランの拡張性は下記となり、上限値を超えるスペックアップすることはできません。
保護可能なパブリックIPアドレス数:最大1,000個
処理可能な最大トラフィック帯域幅:1GB/s
Internet Firewall ポリシー数:最大2,000個
NAT Firewallポリシー数:最大2,000個
ログ分析:7日間保持
今回はNAT Firewallを使用しECSからNAT GateWayへ抜ける構成で通信制御を行います。
ECS ( Singapore / Zone A / Windows Server 2022 )
Cloud Firewall 従量課金プラン
NAT Gateway
Elastic IP address
シンガポールリージョンにECS、NAT Gatewayをデプロイします。
ECSをNAT GatewayのSNAT対象に設定します。
VPCのルーティングテーブルでカスタムルートでデフォルトルートをNAT Gatewayに向けます。
①Cloud Firewallコンソールにアクセスし、左ペイン【OverView】をクリックします。
以下、Overview画面に遷移し画面上部の【Buy Now】をクリックします。
②Cloud Firewallの購入画面に遷移し、今回は以下のパラメータを設定します。
Billing Method:Pay-as-you-go
設定が完了したら画面下部にある【Buy Now】をクリックします。
③Cloud Firewall(Pay-as-you-go)の購入画面に遷移し、今回は以下のパラメータを設定します。
Billing Method:Pay-as-you-go
Automatic Protection for Assets:No
※全てのEIPを保護対象としたい場合はYESを選択して下さい。
Terms of Service:☑ I have read and agree Cloud Firewall(Pay-as-you-go)Terms of Service
設定が完了したら画面下部にある【Buy Now】をクリックします。
④Cloud Firewallコンソールにアクセスし、Automatic Protection for Assets:Noを選択しているので下記画面が表示されます。
【Quick Manual Access for Internet-facir】をクリックします。
⑤Cloud Firewallコンソールにアクセスし、左ペインの【Firewall Settings】をクリックします。Firewall Settings画面に遷移し上部タブの【NAT Firewall】をクリックします。
NAT Firewall画面に遷移し画面中部の【Enable Now】をクリックしNat Firewall機能を有効化します。
⑥該当のNAT GatewayのIDを確認し、Actions列の【Create】をクリックします。
⑦Create NAT Firewall ①Automatic Checkフェーズ画面に遷移し【Check Now】をクリックします。
⑧NAT Firewall構成の自動チェックが行われますので【Passed】表示になることを確認し【Next】をクリックします。
⑨NAT Firewall作成のパラメーターを入力します。
Name:任意の名称
Select Route Table:Destination CIDR Bloock左の☑し、直下0.0.0.0/0行の左が☑されたことを確認します。
vSwitch:Lose Mode
Notes:内容を確認します。
NAT FirewallはDNATをサポートしていない。
NAT Firewallを構成する際に作成されるリソース(vSwitch、カスタムルートテーブル)はサービス中断を避けるため削除しないこと。
I have read the preceding notes.:☑
【Enable Firewall】をクリックします。
⑩NAT Firewallを有効化します。
Enabling Status:Enable
【Confirm】をクリックします。
⑪以下の画面が表示されればNAT Firewallの作成は完了です。
※NAT Firewallが構成されますが初期設定では全ての通信がAnyのため通信が全てブロックされることはありません。
【Close】をクリックします。
⑫アクセスコントロールポリシーを作成します。
Access Contorolペインの【NAT Border】をクリックします。
NAT Border画面に遷移し【Create Policy】右のドロップダウンから対象の【NAT Gateway ID】を選択します。
【Create Policy】をクリックします。
今回は許可されたwebサイト以外は全てブロックするアクセスコントロールポリシーにします。
⑬暗黙のdenyポリシーの作成
以下のパラメーターを入力します。
Source Type:IP
Source:0.0.0.0
Destination Type:IP
Destination:0.0.0.0/0
Protocol Type:Any
Port:0/0
Application:Any
Action:Deny
Description:implicit deny
Priority:Lowset
Policy Validity Period:Aliways
Status:Enable
【OK】をクリックします。
implicit denyポリシーが作成されました。
⑭クライアントのECSからブラウザアクセスが遮断されるか確認いたします。
https://yahoo.co.jpにアクセスいたしましたが遮断されました。
Cloud Firewallのアクセスログも確認してみます。
Access Controlペインの【NAT Border】をクリックします。
作成したimplicit denyポリシー行のHits/Last Hit At列の【View Logs】をクリックします。
Log Audit画面に遷移しログを確認し該当の通信をログを確認します。
残念ながらドメイン名で宛先を検索することができないためクライアントでnslookupを行いyahoo.co.jpのIPアドレスを確認しました。
Destination IP Addressに[183.79.248.124]を入力いたしました。
下記画像の通りDenyされていることが確認できます。
⑮webサイトの許可ポリシーを作成します。
折角なのでCloud Firewallの機能であるAddress Bookを使用して許可するドメインを登録してみます。
Access Controlペインの【Address Books】をクリックします。
Custom Address Bookタブの【Domain Address Book】をクリックします。
【Create Address Book】をクリックします。
⑯Create Domain Address Book画面に遷移し以下のパラメーターを入力します。
Address Book Name:yahoo
Description:任意の説明
Domain Name:*.yahoo.co.jp,*s.yimg.jp
【OK】をクリックします。
Domain Address Bookにyahooが登録されました。
⑰アクセスコントロールポリシーを作成します。
Access Contorolペインの【NAT Border】をクリックします。
NAT Border画面に遷移し【Create Policy】右のドロップダウンから対象の【NAT Gateway ID】を選択します。
【Create Policy】をクリックします。
⑱yahoo.co.jpを許可するアクセスコントロールポリシーを作成いたします。
以下のパラメーターを入力します。
Source Type:IP
Source:192.168.0.0/24
Destination Type:Address Book
Destination:yahoo
Protocol Type:TCP
Port:0/0
Application:HTTP,HTTPS,SMTP,SMTPS,SSL
Action:Allow
Description:allow_yahoo
Priority:Highest
Policy Validity Period:Always
Status:Enable
【OK】をクリックします。
allow_yahooのアクセスが作成されました。
⑲クライアントのECSからyahoo.co.jpへブラウザアクセスし許可されるか確認いたします。
https://yahoo.co.jpにアクセスいたしましたがアクセスできました。
ワイルドカード指定もしているので他のページも遷移出来るか確認します。
トップページ以外もアクセスすることができました。
最後に通信ログも確認します。
allow_yahooポリシー行の【View Log】をクリックします。
Log Audit画面に遷移しログを確認し該当の通信をログを確認します
allowログはDomainの表示があるためログ確認しやすいですね。
Cloud Firewallに追加された従量課金プランと機能、簡単な構成の構築方法について紹介しました。
今回は分かり易くするため暗黙のDenyを定義し、許可ポリシーを記載する方法をとりました。しかしDenayログではDomain名が表示されないため、現実的な運用としてはアクセスさせたくないサイトのみをAllowログから確認しつつDenyする運用の方が良いと感じました。
ミニマム構成でも導入しやすくなりましたのでぜひ、導入をご検討ください。
条件に該当するページがございません