ご使用の前に
Q. NAVERクラウドプラットフォームのSecure Zone Firewallサービスとは何ですか?
- Secure Zone内に作成したインスタンスへのアクセスにファイアウォールポリシーを設定して、アクセスを制御できる機能を提供しています。
Q. Secure Zone Firewallはどのように利用すればいいですか?
- Secure Zoneの利用規約同意
- Secure Zone Firewallの利用申請
- Cloud Log Analyticsの利用申請及びログ保存場所の連携
- Secure Zone VM作成
- Secure Zone Policy作成/Address Group作成
- Secure Zone Firewall Network Usageの照会
- Secure Zone Firewall Logの照会
Q. Secure Zone Firewallサービスを使用しない場合、Secure Zone VMにはアクセスできませんか?
- Secure Zoneの内部間を除いた外部通信は、すべて遮断されています。
- 一般ZoneまたはSSL VPNとSecure Zoneの間、Secure Zone FirewallにPolicyを作成して通信許可ポリシーを作成してからSecure Zone VMにアクセスできます。
Q. Secure Zone VMにアクセスポリシーを設定できるZoneは、どこですか?
- SSL VPNに流入するトラフィックとSecure Zoneを除いたNcloudのすべてのZone間のプライベートアクセスです。
Q. Policyとは何ですか?
- 定義されたSource IPとDestination IPの間に、特定プロトコル及びポートに対する通信を許可したり遮断するセキュリティポリシーです。
Q. Address Groupとは何ですか?
- 顧客が所有しているVMをグループにまとめて、ポリシーで使用できるオブジェクトです。
Q. Logとは何ですか?
- Secure Zone Firewallのファイアウォールポリシーに基づいて、Secure Zoneへのアクセスの試みが記録されたTraffic Logです。 Cloud Log Analyticsの商品でも検索/照会できます。
Q. Excelファイルでダウンロードできますか?
- 検索結果をExcelファイルでダウンロードできます。
- ただし、全体データではなく検索結果画面に表示される内容のみダウンロードできます。
Secure Zone Firewallのサービスを使用する
Secure Zone Firewallのサービス利用申請
① コンソールにアクセスした後、Security > Secure Zone > Secure Zone Firewallをクリックします。
② Secure Zone Firewall画面のファイアウォール作成をクリックします。
③ 作成するZoneを選択します。
④ StandardとAdvancedファイアウォールの中で希望する区間の商品を選択します。
- Secure ZoneでPrivate Subnet IPを使用する場合、Advanced商品を選択します。
- Advanced商品を利用するには、Private Subnet商品で該当するZoneに作成した商品を利用する必要があります。
⑤ ログ保存場所の連携でCloud Log Analytics(CLA)を選択します。(必須)
- 既存のCloud Log Analytics登録者には、このポップアップは表示されません。
⑥ Cloud Log Analytics利用申請ボタンをクリックしてCloud Log Analyticsサービスに登録します。
- 未登録状態の場合、Policy、Address Group、Network Usageメニューを選択するとSecure Zone Firewallの利用申請ページに移動します。
Secure Zone Firewallの利用状況ボード(Security > Secure Zone > Secure Zone Firewall)
① 各Zoneに作成されたファイアウォールで作業するメニューを選択して移動します。 (Policy / Address Group / Network Usage / Log)
Policy設定
Policy作成
① Security > Secure Zone > Secure Zone Firewall > Policyで+ Policy作成ボタンをクリックします。
- Name:Policy名
- Description:Policy説明
- Source IP:顧客所有のVM/プライベートLB/SSL VPN
- Destination IP:顧客所有のVM
- Protocol:TCP / UDP / ICMP
- Port:destination port (0 ~ 65,535)
- Action:Allow / Deny
Source IPとDestination IPのうち一つはSecure Zoneが必須です。
② 必須入力事項を入力した後、[保存]ボタンをクリックしてPolicyを作成します。
Policy変更
① Security > Secure Zone > Secure Zone Firewall > Policyで変更するPolicyのNameをクリックします。
② 変更する値を入れて修正した後、保存をクリックしてPolicyを変更します。
③ Policyの優先順位を修正するためにPolicy一つを選択して順序変更ボタンで優先順位を調整します。
Policy削除
① Security > Secure Zone > Secure Zone Firewall > Policyで削除するPolicyのコンボボックスを複数選択した後、Policy削除ボタンをクリックして削除します。
② または、Security > Secure Zone > Secure Zone Firewall > Policyで削除するPolicyのNameをクリックした後、削除ボタンをクリックします。
Default Denyポリシーログの有効化/無効化
基本的にファイアウォールにポリシー設定をしない場合、All Denyです。 ポリシーがなくトラフィックが遮断される場合、Defaultポリシーに基づいて遮断されてログが残ります。許可されていないアクセスの試みが多い場合、Log Sizeが多く増え、Cloud Log Analytics保存場所の容量を多く占める可能性があります。
① Default Denyロギングを有効化/無効化してDefault Denyポリシーに該当するログを残したり、残らないように設定できます。
- Default:有効化(ログを残す)
Address Group設定
Address Group作成
① Security > Secure Zone > Secure Zone Firewall > Address Groupで+ Address Group作成ボタンをクリックします。
② Addressを複数選択して保存ボタンをクリックして、Address Groupを作成します。
Address Group変更
① Security > Secure Zone > Secure Zone Firewall > Address Groupで変更するAddress GroupのNameをクリックします。
② 変更する値を入れて修正した後、保存ボタンをクリックしてAddress Groupを変更します。
Address Group削除
① Security > Secure Zone > Secure Zone Firewall > Address Groupで削除するAddress Groupを複数選択した後、Address Group削除ボタンをクリックします。
② 削除対象のAddress Groupをチェックした後、確認ボタンをクリックして削除します。
Network Usageの照会
① Security > Secure Zone > Secure Zone Firewall > Network Usageで時間帯別のpeakトラフィック使用量を照会します。
- 好きな期間を選択して照会できます。(最大期間設定:1ヵ月)
Logの照会
Receive Time:日付範囲に検索可能(保管周期及びサイズはCloud Log Analyticsの商品ポリシーに基づく)
Source IP:顧客所有のVM/プライベートLB/SSL VPN
Destination IP:顧客所有のVM
Protocol:TCP / UDP / ICMP
Port:destination port検索(0 ~ 65,535)
Action
- accept: for the end of non-TCP traffic // non-TCPの場合(ICMP、UDP、TCPを除く)通過を意味、
- deny: for traffic blocked by a firewall policy //ポリシーに基づくBlock
- close: for the end of TCP session closed with a FIN/FIN-ACK/RST // Allowを意味し、FINまたはRSTによる正常な終了
- timeout: for the end of a TCP session which is closed because it was idle. // Allowはされたが、timeout値に応じて結局は遮断された場合、TCP SYNは送ったが遠隔地でレスポンスがない場合にも残る
- ip-conn: for IP connection failed for the session (host is not reachable) // Allowはされたが、FortiGateがあるレスポンスパケットを受けずに終了したた場合、 ICMPリクエストはあるがレスポンスはない、UDPリクエストはあるがレスポンスがない場合
Policy:該当のLogがヒットされたPolicy名
Default Denyポリシーログの有効化/無効化
下位メニューで他のファイアウォールに移動
- 各機能のメニュー上部のselect box選択で現在作成したファイアウォール設定に移動できます。
Secure Zone VMデバイスIPをACGに登録
- Secure Zoneと一般zoneのアクセス制御をSecure Zone Firewallポリシーに統制するためには、それぞれのVM及びSSL VPNを同じACG設定と以下のようなルールを登録する必要があります。(必須)
Secure Zone Firewall権限のSub Account適用
Sub Account権限の詳細
管理者とユーザー権限に分類され、次のような権限が与えられます。
- NCP_SECURE_ZONE_FIREWALL_MANAGER
- Secure Zone Firewall商品内のオブジェクト照会及びPolicy、Address Group作成/削除/変更権限があります。
- NCP_SECURE_ZONE_FIREWALL_VIEWER
- Secure Zone Firewall商品内のオブジェクト照会権限があります。
Secure Zone Firewallの管理者権限を与える
① 特定ユーザーにSecure Zone Firewall権限を与えるためには、先にSub Accountサービスを選択します。
② Secure Zone Firewallの権限を与えるサブアカウントを選択します。
③ サブアカウントの詳細画面でポリシーの追加ボタンをクリックします。
④ 選択されたサブアカウントのポリシーでNCP_SECURE_ZONE_FIREWALL_MANAGERポリシーまたはNCP_SECURE_ZONE_FIREWALL_VIEWERの中で与えるポリシーを選択して該当権限を追加します。
Secure Zone Firewall利用の解除
Secure Zone Firewall返却
① Security > Secure Zone > Secure Zone Firewall 使用中のファイアウォールの中で返却するファイアウォール選択
- Standardファイアウォールを選択する時、同じzoneにAdvancedファイアウォールがある場合Advancedファイアウォールもともに返却する必要があります。
NAS利用時の注意事項
- PublicとSecure Zoneの間の商品用NAS:共用で使用できるが、ファイアウォール区間を経ないため個人情報をNASに保存しないことをお勧めします。