ご利用の前に

Q. NAVERクラウドプラットフォームのSecure Zone Firewallサービスとは何ですか?

  • Secure Zone内に作成したインスタンスへのアクセスに対し、ファイアウォールポリシーを設定してアクセスを制御できる機能を提供します。

Q. Secure Zone Firewallはどのように利用しますか?

  • Secure Zoneの利用規約に同意
  • Secure Zone Fiewall利用の申込み
  • Cloud Log Analytics利用の申込みおよびログストレージとの連携
  • Secure Zone VM作成
  • Secure Zone Policy作成/Address Group作成
  • Secure Zone Firewall Network Usageの照会
  • Secure Zone Firewall Logの照会

Q. Secure Zone Firewallサービスを使用しないと、Secure Zone VMにアクセスできないのですか?

  • Secure Zoneの内部間を除く外部通信はすべて遮断されています。
  • 一般ZoneまたはSSL VPNとSecure Zoneの間において、Secure Zone FirewallにPolicyを作成し、通信許可ポリシーを適用しないと、Secure Zone VMへのアクセスが不可能です。

Q. Secure Zone VMへのアクセスポリシーを設定できるZoneはどこですか?

  • SSL VPNに入り込まれるトラフィックとSecure zoneを除くNcloudのすべてのZone間のプライベートアクセスです。

Q. Policyとは何ですか?

  • 定義されたSource IPとDestination IP間に、特定のプロトコルおよびポートに対する通信を許可したり遮断するセキュリティポリシーです。

Q. Address Groupとは何ですか?

  • 顧客が所有したVMを適当なグループに結んでポリシーで使用できるようにするオブジェクトです。

Q. Logとは何ですか?

  • Secure Zone FirewallのファイアウォールポリシーによってSecure Zoneへのアクセスの試みが記録されたTraffic Logです。Cloud Log Analytics商品でも検索/照会できます。

Q. Excelファイルでダウンロードできますか?

  • 検索結果をExcelファイルでダウンロードできます。
  • ただし、データ全体ではなく、検索結果として画面に見える内容のみをダウンロードできます。

Secure Zone Firewallサービスの使用

Secure Zone Firewallサービス利用の申込み

① コンソールにアクセスした後、Security > Secure Zone > Secure Zone Firewallをクリックします。

Secure Zone Firewallのサブメニューの中でPolicyをクリックします。

+ 利用のお申込み ボタンをクリックします。

ログストレージ連携Cloud Log Analytics(CLA) を選択します。(必須)

  • すでにCloud Log Analyticsに登録した場合はこのポップアップウィンドウは表示されません。

Cloud Log Analytics利用のお申込みボタンをクリックしてCloud Log Analyticsサービスに登録します。

  • 登録の前に、Policy, Address Group, Network Usageメニューを選択すると、Secure Zone Firewall利用の申込みのページに移動します。

Policy設定

Policyの作成

Security > Secure Zone > Secure Zone Firewall > Policy+ Policyを作成ボタンをクリックします。

  • Name: Policy名
  • Description: Policyの説明
  • Source IP: 顧客所有のVM / プライベートLB / SSL VPN
  • Destination IP: 顧客所有のVM
  • Protocol: TCP / UDP / ICMP
  • Port: destination port (0 ~ 65,535)
  • Action: Allow / Deny

Source IPとDestination IPのうち1つはSecure Zoneが必須です。

② 必須の値を入力した後、保存ボタンをクリックしてPolicyを作成します。

Policyの変更

Security > Secure Zone > Secure Zone Firewall > Policyで変更しようとするPolicyのNameをクリックします。

② 変更しようとする値を入れて修正した後、保存をクリックしてPolicyを変更します。

③ Policyの優先順位を修正するためにPolicyを1つ選択して順番変更ボタンで優先順位を調整します。

Policyの削除

Security > Secure Zone > Secure Zone Firewall > Policyで削除しようとするPolicyのコンボボックスを多重選択した後、Policyを削除ボタンをクリックして削除します。

Security > Secure Zone > Secure Zone Firewall > Policyで削除しようとするPolicyのNameをクリックした後、削除ボタンをクリックします。

Default Denyポリシーログを有効/無効にする

基本的にファイアウォールにポリシー設定をしないと、All Denyです。設定されたポリシーがないためにトラフィックが遮断される場合、Defaultポリシーによって遮断されてログが残りますが、許可されていないアクセスの試みが多いと、Log Sizeがたくさん増加してCloud Log Analyticsストレージの容量を多く占める可能性があります。

Default Denyロギングを有効/無効にしてDefault Denyポリシーに該当するログを残すあるいは残さないように設定できます。

  • Default: 有効(ログを残す)

Address Group設定

Address Groupの作成

Security > Secure Zone > Secure Zone Firewall > Address Group+ Address Groupを作成ボタンをクリックします。

② Addressを多重選択し、保存ボタンをクリックしてAddress Groupを作成します。

Address Groupの変更

Security > Secure Zone > Secure Zone Firewall > Address Groupで変更しようとするAddress GroupのNameをクリックします。

② 変更しようとする値を入れて修正した後、保存ボタンをクリックしてAddress Groupを変更します。

Address Groupの削除

Security > Secure Zone > Secure Zone Firewall > Address Groupで削除しようとするAddress Groupを多重選択した後、Address Groupを削除ボタンをクリックします。

② 削除対象のAddress Groupにチェックした後、確認ボタンをクリックして削除します。

Network Usageの照会

Security > Secure Zone > Secure Zone Firewall > Network Usageで時間帯別のpeakトラフィック使用量を照会します。

  • ご希望の期間を選択して照会できます。(最大の期間設定: 1か月)

Logの照会

  • Receive Time: 日付範囲で検索可能(保管周期およびサイズはCloud Log Analytics商品のポリシーに従う)

  • Source IP: 顧客所有のVM / プライベートLB / SSL VPN

  • Destination IP: 顧客所有のVM

  • Protocol: TCP / UDP / ICMP

  • Port: destination port検索(0 ~ 65,535)

  • Action

    • accept: for the end of non-TCP traffic // non-TCPの場合、(icmp, udp.... tcpを除く)パスを意味
    • deny: for traffic blocked by a firewall policy // ポリシーによるBlock
    • close: for the end of TCP session closed with a FIN/FIN-ACK/RST // Allowを意味し、FIN or RSTによる正常終了
    • timeout: for the end of a TCP session which is closed because it was idle. // Allowされたが、timeoutの値により結局Blockになった場合、TCP SYNは送ったが、remoteからのレスポンスがない場合も残る
    • ip-conn: for IP connection failed for the session (host is not reachable) // Allowされたが、fortigateにあるreply packetがなかったために終了した場合。ICMP requestはあるが、replyはない、UDP requestはあるが、replyはない場合
  • Policy: 該当のLogがヒットされたPolicy名

  • Default Denyポリシーログを有効/無効にする

Secure Zone VM装置のIPをACGに登録

  • Secure zoneと一般zoneへのアクセスの制御をSecure Zone Firewallポリシーでコントロールするためには、それぞれのVMおよびSSL VPNに対し、同一のACG設定および次のようなルールを登録しなければなりません。(必須)

Secure Zone Firewallの権限をSub Accountに適用

Sub Accountの権限の詳細

管理者と使用者の権限に分離され、次のような権限が与えられます。

  • NCP_SECURE_ZONE_FIREWALL_MANAGER
    • Secure Zone Firewall商品内のオブジェクトの照会およびPolicy, Address Groupの作成/削除/変更の権限を持ちます。
  • NCP_SECURE_ZONE_FIREWALL_VIEWER
    • Secure Zone Firewall商品内のオブジェクトの照会の権限を持ちます。

Secure Zone Firewallの管理者権限の付与

① 特定のユーザーにSecure Zone Firewallの権限を与えるためには、まずSub Accountsサービスを選択します。

② Secure Zone Firewallの権限を与えたいサブアカウントを選択します。

③ サブアカウントの詳細画面でポリシーの追加ボタンをクリックします。

④ 選択されたサブアカウントのポリシーでNCP_SECURE_ZONE_FIREWALL_MANAGERポリシーまたはNCP_SECURE_ZONE_FIREWALL_VIEWERのうち与えたいポリシーを選択して該当の権限を追加します。

Secure Zone Firewall Advancedへのアップグレード

Secure Zone Firewall Advancedアップグレードの申込み

Security > Secure Zone > Secure Zone Firewallに登録された状態で"利用設定"をクリックします。

Advancedにアップグレードボタンをクリックします。

  • Advancedアップグレード商品を利用するためにはPrivate Subnet商品の登録が必須です。

③ Advancedにアップグレードが完了すると、Private Subnetタブが表示されます。

  • Policy / Address Grou / LogメニューでPrivate Subnetタブを選択した後、Advanced機能を利用します。

Policy設定 - Advanced

Policyの作成

Security > Secure Zone > Secure Zone Firewall > Policy > Private Subnet+ Policyを作成ボタンをクリックします。

  • Name: Policy名
  • Description: Policyの説明
  • Source IP: IPSec VPN (顧客が直接入力) / Private Subnet Network Interfaceが割り当てられた顧客所有のVM
  • Destination IP: Private Subnet Network Interfaceが割り当てられた顧客所有のVM
  • Protocol: TCP / UDP / ICMP
  • Port: destination port (0 ~ 65,535)
  • Action: Allow / Deny

Source IPとDestination IPのうち1つはSecure Zoneが必須です。

② 必須の値を入力した後、保存ボタンをクリックしてPolicyを作成します。

Policyの変更

Security > Secure Zone > Secure Zone Firewall > Policy > Private Subnetで変更しようとするPolicyのNameをクリックします。

② 変更しようとする値を入れて修正した後、保存をクリックしてPolicyを変更します。

③ Policyの優先順位を修正するためにPolicy1つを選択して順番変更ボタンで優先順位を調整します。

Policyの削除

Security > Secure Zone > Secure Zone Firewall > Policy > Private Subnetで削除しようとするPolicyのコンボボックスを多重選択した後、Policyを削除ボタンをクリックして削除します。

Security > Secure Zone > Secure Zone Firewall > Policy > Private Subnetで削除しようとするPolicyのNameをクリックした後、削除ボタンをクリックします。

Default Denyポリシーログを有効/無効にする

基本的にファイアウォールにポリシー設定をしないと、All Denyです。設定されたポリシーがないためにトラフィックが遮断される場合、Defaultポリシーによって遮断されてログが残りますが、許可されていないアクセスの試みが多いと、Log Sizeがたくさん増加してCloud Log Analyticsストレージの容量を多く占める可能性があります。

Default Denyロギングを有効/無効にしてDefault Denyポリシーに該当するログを残すあるいは残さないように設定できます。

  • Default: 有効(ログを残す)

Address Groupの設定 - Advanced

Address Groupの作成

Security > Secure Zone > Secure Zone Firewall > Address Group > Private Subnet+ Address Groupを作成 ボタンをクリックします。

② Addressを多重選択し、保存ボタンをクリックしてAddress Groupを作成します。

Address Groupの変更

Security > Secure Zone > Secure Zone Firewall > Address Group > Private Subnetで変更しようとするAddress GroupのNameをクリックします。

② 変更しようとする値を入れて修正した後、保存ボタンをクリックしてAddress Groupを変更します。

Address Groupの削除

Security > Secure Zone > Secure Zone Firewall > Address Group > Private Subnetで削除しようとするAddress Groupを多重選択した後、Address Groupを削除ボタンをクリックします。

Security > Secure Zone > Secure Zone Firewall > Address Group > Private Subnetで削除しようとするAddress GroupのNameをクリックした後、削除ボタンをクリックします。

Network Usageの照会

Security > Secure Zone > Secure Zone Firewall > Network Usageで時間帯別のpeakトラフィック使用量を照会します。

  • 対象の期間を選択して照会できます。(最大の期間設定: 1か月)

Logの照会

Secure Zone > Secure Zone Firewall > Log > Private SubnetタブでPrivate Subnet Traffic Logを確認

  • Receive Time: 日付範囲で検索可能(保管周期およびサイズはCloud Log Analytics商品のポリシーに従う)

  • Source IP: 顧客所有のVM / プライベートLB / SSL VPN

  • Destination IP: 顧客所有のVM

  • Protocol: TCP / UDP / ICMP

  • Port: destination port検索 (0 ~ 65,535)

  • Action

    • accept: for the end of non-TCP traffic // non-TCPの場合、(icmp, udp.... tcpを除く)パスを意味
    • deny: for traffic blocked by a firewall policy // ポリシーによるBlock
    • close: for the end of TCP session closed with a FIN/FIN-ACK/RST // Allowを意味し、FIN or RSTによる正常終了
    • timeout: for the end of a TCP session which is closed because it was idle. // Allowされたが、timeoutの値により結局Blockになった場合、TCP SYNは送ったが、remoteからのレスポンスがない場合も残る
    • ip-conn: for IP connection failed for the session (host is not reachable) // Allowされたが、fortigateにあるreply packetがなかったために終了した場合。ICMP requestはあるが、replyはない、UDP requestはあるが、replyはない場合
  • Policy: 該当のLogがヒットされたPolicy名

  • Default Denyポリシーログを有効/無効にする

Secure Zone Firewall利用の解除

Secure Zone Firewall Advancedの解除

Security > Secure Zone > Secure Zone Firewall > Advancedに登録された状態で"Advanced利用を解除"をクリックします。

  • Advanced商品が解除され、Standard商品は維持されます。

Security > Secure Zone > Secure Zone Firewall Advanced商品に登録していない状態で"利用を解除"をクリックします。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...