マニュアル - NAVER CLOUD PLATFORM

ご利用の前に

Q. NAVERクラウドプラットフォームのSecure Zone Firewallサービスとは何ですか？

Secure Zone内に作成したインスタンスへのアクセスに対し、ファイアウォールポリシーを設定してアクセスを制御できる機能を提供します。

Q. Secure Zone Firewallはどのように利用しますか？

Secure Zoneの利用規約に同意
Secure Zone Fiewall利用の申込み
Cloud Log Analytics利用の申込みおよびログストレージとの連携
Secure Zone VM作成
Secure Zone Policy作成/Address Group作成
Secure Zone Firewall Network Usageの照会
Secure Zone Firewall Logの照会

Q. Secure Zone Firewallサービスを使用しないと、Secure Zone VMにアクセスできないのですか？

Secure Zoneの内部間を除く外部通信はすべて遮断されています。
一般ZoneまたはSSL VPNとSecure Zoneの間において、Secure Zone FirewallにPolicyを作成し、通信許可ポリシーを適用しないと、Secure Zone VMへのアクセスが不可能です。

Q. Secure Zone VMへのアクセスポリシーを設定できるZoneはどこですか？

SSL VPNに入り込まれるトラフィックとSecure zoneを除くNcloudのすべてのZone間のプライベートアクセスです。

Q. Policyとは何ですか?

定義されたSource IPとDestination IP間に、特定のプロトコルおよびポートに対する通信を許可したり遮断するセキュリティポリシーです。

Q. Address Groupとは何ですか?

顧客が所有したVMを適当なグループに結んでポリシーで使用できるようにするオブジェクトです。

Q. Logとは何ですか?

Secure Zone FirewallのファイアウォールポリシーによってSecure Zoneへのアクセスの試みが記録されたTraffic Logです。Cloud Log Analytics商品でも検索/照会できます。

Q. Excelファイルでダウンロードできますか？

検索結果をExcelファイルでダウンロードできます。
ただし、データ全体ではなく、検索結果として画面に見える内容のみをダウンロードできます。

Secure Zone Firewallサービスの使用

Secure Zone Firewallサービス利用の申込み

① コンソールにアクセスした後、Security > Secure Zone > Secure Zone Firewallをクリックします。

② Secure Zone Firewallのサブメニューの中でPolicyをクリックします。

③ + 利用のお申込み ボタンをクリックします。

④ ログストレージ連携でCloud Log Analytics(CLA) を選択します。(必須)

すでにCloud Log Analyticsに登録した場合はこのポップアップウィンドウは表示されません。

⑤ Cloud Log Analytics利用のお申込みボタンをクリックしてCloud Log Analyticsサービスに登録します。

登録の前に、Policy, Address Group, Network Usageメニューを選択すると、Secure Zone Firewall利用の申込みのページに移動します。

Policy設定

Policyの作成

① Security > Secure Zone > Secure Zone Firewall > Policyで + Policyを作成ボタンをクリックします。

Name: Policy名
Description: Policyの説明
Source IP: 顧客所有のVM / プライベートLB / SSL VPN
Destination IP: 顧客所有のVM
Protocol: TCP / UDP / ICMP
Port: destination port (0 ~ 65,535)
Action: Allow / Deny

Source IPとDestination IPのうち1つはSecure Zoneが必須です。

② 必須の値を入力した後、保存ボタンをクリックしてPolicyを作成します。

Policyの変更

① Security > Secure Zone > Secure Zone Firewall > Policyで変更しようとするPolicyのNameをクリックします。

② 変更しようとする値を入れて修正した後、保存をクリックしてPolicyを変更します。

③ Policyの優先順位を修正するためにPolicyを1つ選択して順番変更ボタンで優先順位を調整します。

Policyの削除

① Security > Secure Zone > Secure Zone Firewall > Policyで削除しようとするPolicyのコンボボックスを多重選択した後、Policyを削除ボタンをクリックして削除します。

② Security > Secure Zone > Secure Zone Firewall > Policyで削除しようとするPolicyのNameをクリックした後、削除ボタンをクリックします。

Default Denyポリシーログを有効/無効にする

基本的にファイアウォールにポリシー設定をしないと、All Denyです。設定されたポリシーがないためにトラフィックが遮断される場合、Defaultポリシーによって遮断されてログが残りますが、許可されていないアクセスの試みが多いと、Log Sizeがたくさん増加してCloud Log Analyticsストレージの容量を多く占める可能性があります。

① Default Denyロギングを有効/無効にしてDefault Denyポリシーに該当するログを残すあるいは残さないように設定できます。

Default: 有効(ログを残す)

Address Group設定

Address Groupの作成

① Security > Secure Zone > Secure Zone Firewall > Address Groupで + Address Groupを作成ボタンをクリックします。

② Addressを多重選択し、保存ボタンをクリックしてAddress Groupを作成します。

Address Groupの変更

① Security > Secure Zone > Secure Zone Firewall > Address Groupで変更しようとするAddress GroupのNameをクリックします。

② 変更しようとする値を入れて修正した後、保存ボタンをクリックしてAddress Groupを変更します。

Address Groupの削除

① Security > Secure Zone > Secure Zone Firewall > Address Groupで削除しようとするAddress Groupを多重選択した後、Address Groupを削除ボタンをクリックします。

② 削除対象のAddress Groupにチェックした後、確認ボタンをクリックして削除します。

Network Usageの照会

① Security > Secure Zone > Secure Zone Firewall > Network Usageで時間帯別のpeakトラフィック使用量を照会します。

ご希望の期間を選択して照会できます。(最大の期間設定: 1か月)

Logの照会

Receive Time: 日付範囲で検索可能(保管周期およびサイズはCloud Log Analytics商品のポリシーに従う)
Source IP: 顧客所有のVM / プライベートLB / SSL VPN
Destination IP: 顧客所有のVM
Protocol: TCP / UDP / ICMP
Port: destination port検索(0 ~ 65,535)
Action
- accept: for the end of non-TCP traffic // non-TCPの場合、(icmp, udp.... tcpを除く)パスを意味
- deny: for traffic blocked by a firewall policy // ポリシーによるBlock
- close: for the end of TCP session closed with a FIN/FIN-ACK/RST // Allowを意味し、FIN or RSTによる正常終了
- timeout: for the end of a TCP session which is closed because it was idle. // Allowされたが、timeoutの値により結局Blockになった場合、TCP SYNは送ったが、remoteからのレスポンスがない場合も残る
- ip-conn: for IP connection failed for the session (host is not reachable) // Allowされたが、fortigateにあるreply packetがなかったために終了した場合。ICMP requestはあるが、replyはない、UDP requestはあるが、replyはない場合
Policy: 該当のLogがヒットされたPolicy名
Default Denyポリシーログを有効/無効にする

Secure Zone VM装置のIPをACGに登録

Secure zoneと一般zoneへのアクセスの制御をSecure Zone Firewallポリシーでコントロールするためには、それぞれのVMおよびSSL VPNに対し、同一のACG設定および次のようなルールを登録しなければなりません。(必須)

Secure Zone Firewallの権限をSub Accountに適用

Sub Accountの権限の詳細

管理者と使用者の権限に分離され、次のような権限が与えられます。

NCP_SECURE_ZONE_FIREWALL_MANAGER
- Secure Zone Firewall商品内のオブジェクトの照会およびPolicy, Address Groupの作成/削除/変更の権限を持ちます。
NCP_SECURE_ZONE_FIREWALL_VIEWER
- Secure Zone Firewall商品内のオブジェクトの照会の権限を持ちます。

Secure Zone Firewallの管理者権限の付与

① 特定のユーザーにSecure Zone Firewallの権限を与えるためには、まずSub Accountsサービスを選択します。

② Secure Zone Firewallの権限を与えたいサブアカウントを選択します。

③ サブアカウントの詳細画面でポリシーの追加ボタンをクリックします。

④ 選択されたサブアカウントのポリシーでNCP_SECURE_ZONE_FIREWALL_MANAGERポリシーまたはNCP_SECURE_ZONE_FIREWALL_VIEWERのうち与えたいポリシーを選択して該当の権限を追加します。

Secure Zone Firewall Advancedへのアップグレード

Secure Zone Firewall Advancedアップグレードの申込み

① Security > Secure Zone > Secure Zone Firewallに登録された状態で"利用設定"をクリックします。

② Advancedにアップグレードボタンをクリックします。

Advancedアップグレード商品を利用するためにはPrivate Subnet商品の登録が必須です。

③ Advancedにアップグレードが完了すると、Private Subnetタブが表示されます。

Policy / Address Grou / LogメニューでPrivate Subnetタブを選択した後、Advanced機能を利用します。