ポータルのショートカット NAVERクラウドプラットフォームのマニュアル

ご使用の前に

Q. NAVERクラウドプラットフォームのSecure Zone Firewallサービスとは何ですか？

• Secure Zone内に作成したインスタンスへのアクセスにファイアウォールポリシーを設定して、アクセスを制御できる機能を提供しています。

Q. Secure Zone Firewallはどのように利用すればいいですか？

• Secure Zoneの利用規約同意
• Secure Zone Firewallの利用申請
• Cloud Log Analyticsの利用申請及びログ保存場所の連携
• Secure Zone VM作成
• Secure Zone Policy作成/Address Group作成
• Secure Zone Firewall Network Usageの照会
• Secure Zone Firewall Logの照会

Q. Secure Zone Firewallサービスを使用しない場合、Secure Zone VMにはアクセスできませんか？

• Secure Zoneの内部間を除いた外部通信は、すべて遮断されています。
• 一般ZoneまたはSSL VPNとSecure Zoneの間、Secure Zone FirewallにPolicyを作成して通信許可ポリシーを作成してからSecure Zone VMにアクセスできます。

Q. Secure Zone VMにアクセスポリシーを設定できるZoneは、どこですか？

• SSL VPNに流入するトラフィックとSecure Zoneを除いたNcloudのすべてのZone間のプライベートアクセスです。

Q. Policyとは何ですか？

• 定義されたSource IPとDestination IPの間に、特定プロトコル及びポートに対する通信を許可したり遮断するセキュリティポリシーです。

Q. Address Groupとは何ですか？

• 顧客が所有しているVMをグループにまとめて、ポリシーで使用できるオブジェクトです。

Q. Logとは何ですか？

• Secure Zone Firewallのファイアウォールポリシーに基づいて、Secure Zoneへのアクセスの試みが記録されたTraffic Logです。 Cloud Log Analyticsの商品でも検索/照会できます。

Q. Excelファイルでダウンロードできますか？

• 検索結果をExcelファイルでダウンロードできます。
• ただし、全体データではなく検索結果画面に表示される内容のみダウンロードできます。

Secure Zone Firewallのサービスを使用する

Secure Zone Firewallのサービス利用申請

① コンソールにアクセスした後、Security > Secure Zone > Secure Zone Firewallをクリックします。

② Secure Zone Firewall画面のファイアウォール作成をクリックします。

③ 作成するZoneを選択します。

④ StandardとAdvancedファイアウォールの中で希望する区間の商品を選択します。

​ - Secure ZoneでPrivate Subnet IPを使用する場合、Advanced商品を選択します。

​ - Advanced商品を利用するには、Private Subnet商品で該当するZoneに作成した商品を利用する必要があります。

⑤ ログ保存場所の連携でCloud Log Analytics(CLA)を選択します。(必須)

• 既存のCloud Log Analytics登録者には、このポップアップは表示されません。

⑥ Cloud Log Analytics利用申請ボタンをクリックしてCloud Log Analyticsサービスに登録します。

• 未登録状態の場合、Policy、Address Group、Network Usageメニューを選択するとSecure Zone Firewallの利用申請ページに移動します。

Secure Zone Firewallの利用状況ボード(Security > Secure Zone > Secure Zone Firewall)

① 各Zoneに作成されたファイアウォールで作業するメニューを選択して移動します。 (Policy / Address Group / Network Usage / Log)

Policy設定

Policy作成

① Security > Secure Zone > Secure Zone Firewall > Policyで+ Policy作成ボタンをクリックします。

• Name：Policy名
• Description：Policy説明
• Source IP：顧客所有のVM/プライベートLB/SSL VPN
• Destination IP：顧客所有のVM
• Protocol：TCP / UDP / ICMP
• Port：destination port (0 ~ 65,535)
• Action：Allow / Deny

Source IPとDestination IPのうち一つはSecure Zoneが必須です。

② 必須入力事項を入力した後、[保存]ボタンをクリックしてPolicyを作成します。

Policy変更

① Security > Secure Zone > Secure Zone Firewall > Policyで変更するPolicyのNameをクリックします。

② 変更する値を入れて修正した後、保存をクリックしてPolicyを変更します。

③ Policyの優先順位を修正するためにPolicy一つを選択して順序変更ボタンで優先順位を調整します。

Policy削除

① Security > Secure Zone > Secure Zone Firewall > Policyで削除するPolicyのコンボボックスを複数選択した後、Policy削除ボタンをクリックして削除します。

② または、Security > Secure Zone > Secure Zone Firewall > Policyで削除するPolicyのNameをクリックした後、削除ボタンをクリックします。

Default Denyポリシーログの有効化/無効化

基本的にファイアウォールにポリシー設定をしない場合、All Denyです。 ポリシーがなくトラフィックが遮断される場合、Defaultポリシーに基づいて遮断されてログが残ります。許可されていないアクセスの試みが多い場合、Log Sizeが多く増え、Cloud Log Analytics保存場所の容量を多く占める可能性があります。

① Default Denyロギングを有効化/無効化してDefault Denyポリシーに該当するログを残したり、残らないように設定できます。

• Default：有効化(ログを残す)

Address Group設定

Address Group作成

① Security > Secure Zone > Secure Zone Firewall > Address Groupで+ Address Group作成ボタンをクリックします。

② Addressを複数選択して保存ボタンをクリックして、Address Groupを作成します。

Address Group変更

① Security > Secure Zone > Secure Zone Firewall > Address Groupで変更するAddress GroupのNameをクリックします。

② 変更する値を入れて修正した後、保存ボタンをクリックしてAddress Groupを変更します。

Address Group削除

① Security > Secure Zone > Secure Zone Firewall > Address Groupで削除するAddress Groupを複数選択した後、Address Group削除ボタンをクリックします。

② 削除対象のAddress Groupをチェックした後、確認ボタンをクリックして削除します。

Network Usageの照会

① Security > Secure Zone > Secure Zone Firewall > Network Usageで時間帯別のpeakトラフィック使用量を照会します。

• 好きな期間を選択して照会できます。(最大期間設定：1ヵ月)

Logの照会

• Receive Time：日付範囲に検索可能(保管周期及びサイズはCloud Log Analyticsの商品ポリシーに基づく)

• Source IP：顧客所有のVM/プライベートLB/SSL VPN

• Destination IP：顧客所有のVM

• Protocol：TCP / UDP / ICMP

• Port：destination port検索(0 ~ 65,535)

• Action

  • accept: for the end of non-TCP traffic // non-TCPの場合(ICMP、UDP、TCPを除く)通過を意味、
  • deny: for traffic blocked by a firewall policy //ポリシーに基づくBlock
  • close: for the end of TCP session closed with a FIN/FIN-ACK/RST // Allowを意味し、FINまたはRSTによる正常な終了
  • timeout: for the end of a TCP session which is closed because it was idle. // Allowはされたが、timeout値に応じて結局は遮断された場合、TCP SYNは送ったが遠隔地でレスポンスがない場合にも残る
  • ip-conn: for IP connection failed for the session (host is not reachable) // Allowはされたが、FortiGateがあるレスポンスパケットを受けずに終了したた場合、 ICMPリクエストはあるがレスポンスはない、UDPリクエストはあるがレスポンスがない場合

• Policy：該当のLogがヒットされたPolicy名

• Default Denyポリシーログの有効化/無効化

  

下位メニューで他のファイアウォールに移動

• 各機能のメニュー上部のselect box選択で現在作成したファイアウォール設定に移動できます。

Secure Zone VMデバイスIPをACGに登録

• Secure Zoneと一般zoneのアクセス制御をSecure Zone Firewallポリシーに統制するためには、それぞれのVM及びSSL VPNを同じACG設定と以下のようなルールを登録する必要があります。(必須)

Secure Zone Firewall権限のSub Account適用

Sub Account権限の詳細

管理者とユーザー権限に分類され、次のような権限が与えられます。

• NCP_SECURE_ZONE_FIREWALL_MANAGER
  • Secure Zone Firewall商品内のオブジェクト照会及びPolicy、Address Group作成/削除/変更権限があります。
• NCP_SECURE_ZONE_FIREWALL_VIEWER
  • Secure Zone Firewall商品内のオブジェクト照会権限があります。

Secure Zone Firewallの管理者権限を与える

① 特定ユーザーにSecure Zone Firewall権限を与えるためには、先にSub Accountサービスを選択します。

② Secure Zone Firewallの権限を与えるサブアカウントを選択します。

③ サブアカウントの詳細画面でポリシーの追加ボタンをクリックします。

④ 選択されたサブアカウントのポリシーでNCP_SECURE_ZONE_FIREWALL_MANAGERポリシーまたはNCP_SECURE_ZONE_FIREWALL_VIEWERの中で与えるポリシーを選択して該当権限を追加します。

Secure Zone Firewall利用の解除

Secure Zone Firewall返却

① Security > Secure Zone > Secure Zone Firewall 使用中のファイアウォールの中で返却するファイアウォール選択

• Standardファイアウォールを選択する時、同じzoneにAdvancedファイアウォールがある場合Advancedファイアウォールもともに返却する必要があります。

NAS利用時の注意事項

• PublicとSecure Zoneの間の商品用NAS：共用で使用できるが、ファイアウォール区間を経ないため個人情報をNASに保存しないことをお勧めします。