ご使用の前に

Q. NAVERクラウドプラットフォームのSecure Zone Firewallサービスとは何ですか?

  • Secure Zone内に作成したインスタンスへのアクセスにファイアウォールポリシーを設定して、アクセスを制御できる機能を提供しています。

Q. Secure Zone Firewallはどのように利用すればいいですか?

  • Secure Zoneの利用規約同意
  • Secure Zone Firewallの利用申請
  • Cloud Log Analyticsの利用申請及びログ保存場所の連携
  • Secure Zone VM作成
  • Secure Zone Policy作成/Address Group作成
  • Secure Zone Firewall Network Usageの照会
  • Secure Zone Firewall Logの照会

Q. Secure Zone Firewallサービスを使用しない場合、Secure Zone VMにはアクセスできませんか?

  • Secure Zoneの内部間を除いた外部通信は、すべて遮断されています。
  • 一般ZoneまたはSSL VPNとSecure Zoneの間、Secure Zone FirewallにPolicyを作成して通信許可ポリシーを作成してからSecure Zone VMにアクセスできます。

Q. Secure Zone VMにアクセスポリシーを設定できるZoneは、どこですか?

  • SSL VPNに流入するトラフィックとSecure Zoneを除いたNcloudのすべてのZone間のプライベートアクセスです。

Q. Policyとは何ですか?

  • 定義されたSource IPとDestination IPの間に、特定プロトコル及びポートに対する通信を許可したり遮断するセキュリティポリシーです。

Q. Address Groupとは何ですか?

  • 顧客が所有しているVMをグループにまとめて、ポリシーで使用できるオブジェクトです。

Q. Logとは何ですか?

  • Secure Zone Firewallのファイアウォールポリシーに基づいて、Secure Zoneへのアクセスの試みが記録されたTraffic Logです。 Cloud Log Analyticsの商品でも検索/照会できます。

Q. Excelファイルでダウンロードできますか?

  • 検索結果をExcelファイルでダウンロードできます。
  • ただし、全体データではなく検索結果画面に表示される内容のみダウンロードできます。

Secure Zone Firewallのサービスを使用する

Secure Zone Firewallのサービス利用申請

① コンソールにアクセスした後、Security > Secure Zone > Secure Zone Firewallをクリックします。

Secure Zone Firewall画面のファイアウォール作成をクリックします。

③ 作成するZoneを選択します。

StandardAdvancedファイアウォールの中で希望する区間の商品を選択します。

​ - Secure ZoneでPrivate Subnet IPを使用する場合、Advanced商品を選択します。

​ - Advanced商品を利用するには、Private Subnet商品で該当するZoneに作成した商品を利用する必要があります。

ログ保存場所の連携Cloud Log Analytics(CLA)を選択します。(必須)

  • 既存のCloud Log Analytics登録者には、このポップアップは表示されません。

Cloud Log Analytics利用申請ボタンをクリックしてCloud Log Analyticsサービスに登録します。

  • 未登録状態の場合、PolicyAddress GroupNetwork Usageメニューを選択するとSecure Zone Firewallの利用申請ページに移動します。

Secure Zone Firewallの利用状況ボード(Security > Secure Zone > Secure Zone Firewall)

① 各Zoneに作成されたファイアウォールで作業するメニューを選択して移動します。 (Policy / Address Group / Network Usage / Log)

Policy設定

Policy作成

Security > Secure Zone > Secure Zone Firewall > Policy+ Policy作成ボタンをクリックします。

  • Name:Policy名
  • Description:Policy説明
  • Source IP:顧客所有のVM/プライベートLB/SSL VPN
  • Destination IP:顧客所有のVM
  • Protocol:TCP / UDP / ICMP
  • Port:destination port (0 ~ 65,535)
  • Action:Allow / Deny

Source IPとDestination IPのうち一つはSecure Zoneが必須です。

② 必須入力事項を入力した後、[保存]ボタンをクリックしてPolicyを作成します。

Policy変更

Security > Secure Zone > Secure Zone Firewall > Policyで変更するPolicyのNameをクリックします。

② 変更する値を入れて修正した後、保存をクリックしてPolicyを変更します。

③ Policyの優先順位を修正するためにPolicy一つを選択して順序変更ボタンで優先順位を調整します。

Policy削除

Security > Secure Zone > Secure Zone Firewall > Policyで削除するPolicyのコンボボックスを複数選択した後、Policy削除ボタンをクリックして削除します。

② または、Security > Secure Zone > Secure Zone Firewall > Policyで削除するPolicyのNameをクリックした後、削除ボタンをクリックします。

Default Denyポリシーログの有効化/無効化

基本的にファイアウォールにポリシー設定をしない場合、All Denyです。 ポリシーがなくトラフィックが遮断される場合、Defaultポリシーに基づいて遮断されてログが残ります。許可されていないアクセスの試みが多い場合、Log Sizeが多く増え、Cloud Log Analytics保存場所の容量を多く占める可能性があります。

Default Denyロギングを有効化/無効化してDefault Denyポリシーに該当するログを残したり、残らないように設定できます。

  • Default:有効化(ログを残す)

Address Group設定

Address Group作成

Security > Secure Zone > Secure Zone Firewall > Address Group+ Address Group作成ボタンをクリックします。

② Addressを複数選択して保存ボタンをクリックして、Address Groupを作成します。

Address Group変更

Security > Secure Zone > Secure Zone Firewall > Address Groupで変更するAddress GroupのNameをクリックします。

② 変更する値を入れて修正した後、保存ボタンをクリックしてAddress Groupを変更します。

Address Group削除

Security > Secure Zone > Secure Zone Firewall > Address Groupで削除するAddress Groupを複数選択した後、Address Group削除ボタンをクリックします。

② 削除対象のAddress Groupをチェックした後、確認ボタンをクリックして削除します。

Network Usageの照会

Security > Secure Zone > Secure Zone Firewall > Network Usageで時間帯別のpeakトラフィック使用量を照会します。

  • 好きな期間を選択して照会できます。(最大期間設定:1ヵ月)

Logの照会

  • Receive Time:日付範囲に検索可能(保管周期及びサイズはCloud Log Analyticsの商品ポリシーに基づく)

  • Source IP:顧客所有のVM/プライベートLB/SSL VPN

  • Destination IP:顧客所有のVM

  • Protocol:TCP / UDP / ICMP

  • Port:destination port検索(0 ~ 65,535)

  • Action

    • accept: for the end of non-TCP traffic // non-TCPの場合(ICMP、UDP、TCPを除く)通過を意味、
    • deny: for traffic blocked by a firewall policy //ポリシーに基づくBlock
    • close: for the end of TCP session closed with a FIN/FIN-ACK/RST // Allowを意味し、FINまたはRSTによる正常な終了
    • timeout: for the end of a TCP session which is closed because it was idle. // Allowはされたが、timeout値に応じて結局は遮断された場合、TCP SYNは送ったが遠隔地でレスポンスがない場合にも残る
    • ip-conn: for IP connection failed for the session (host is not reachable) // Allowはされたが、FortiGateがあるレスポンスパケットを受けずに終了したた場合、 ICMPリクエストはあるがレスポンスはない、UDPリクエストはあるがレスポンスがない場合
  • Policy:該当のLogがヒットされたPolicy名

  • Default Denyポリシーログの有効化/無効化

下位メニューで他のファイアウォールに移動

  • 各機能のメニュー上部のselect box選択で現在作成したファイアウォール設定に移動できます。

Secure Zone VMデバイスIPをACGに登録

  • Secure Zoneと一般zoneのアクセス制御をSecure Zone Firewallポリシーに統制するためには、それぞれのVM及びSSL VPNを同じACG設定と以下のようなルールを登録する必要があります。(必須)

Secure Zone Firewall権限のSub Account適用

Sub Account権限の詳細

管理者とユーザー権限に分類され、次のような権限が与えられます。

  • NCP_SECURE_ZONE_FIREWALL_MANAGER
    • Secure Zone Firewall商品内のオブジェクト照会及びPolicy、Address Group作成/削除/変更権限があります。
  • NCP_SECURE_ZONE_FIREWALL_VIEWER
    • Secure Zone Firewall商品内のオブジェクト照会権限があります。

Secure Zone Firewallの管理者権限を与える

① 特定ユーザーにSecure Zone Firewall権限を与えるためには、先にSub Accountサービスを選択します。

② Secure Zone Firewallの権限を与えるサブアカウントを選択します。

③ サブアカウントの詳細画面でポリシーの追加ボタンをクリックします。

④ 選択されたサブアカウントのポリシーでNCP_SECURE_ZONE_FIREWALL_MANAGERポリシーまたはNCP_SECURE_ZONE_FIREWALL_VIEWERの中で与えるポリシーを選択して該当権限を追加します。

Secure Zone Firewall利用の解除

Secure Zone Firewall返却

Security > Secure Zone > Secure Zone Firewall 使用中のファイアウォールの中で返却するファイアウォール選択

  • Standardファイアウォールを選択する時、同じzoneにAdvancedファイアウォールがある場合Advancedファイアウォールもともに返却する必要があります。

NAS利用時の注意事項

  • PublicとSecure Zoneの間の商品用NAS:共用で使用できるが、ファイアウォール区間を経ないため個人情報をNASに保存しないことをお勧めします。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...