AWS Security Group の管理に関する考慮事項
CloudGuard ポータルから AWS セキュリティグループを管理するためのガイドライン:
AWS でサーバインスタンスが起動されると、セキュリティグループの関連付けが想定されます。管理者が新しいインスタンスにセキュリティグループを割り当てない場合は、デフォルトのセキュリティグループに配置され、そのポリシー設定が使用されます。
AWSインスタンスは、サポートされる2つのセキュリティグループタイプのいずれかに属します。EC2- Classic または EC2-VPC。AWS アカウントは、リージョンごとに EC2-Classic と EC2-VPC の両方にインスタンスを起動するか、EC2-VPC のみにインスタンスを起動できます。
セキュリティグループルール定義を使用すると、特定のソースは特定のプロトコルを使用してAWS インスタンスに到達できます。Inbound ルールは、特定のプロトコル(TCP プロトコル、UDP、またはICMP) と宛先ポートを使用してインスタンスに到達できるソースを識別します。
例:ルールでは、IP アドレス203.0.113.1 (送信元) がTCP ポート22 (プロトコルおよび宛先ポート) のインスタンスに到達できるようにすることができます。
AWS セキュリティグループのルールは、本質的に許可されています。複数のセキュリティグループがインスタンスに適用されると、各セキュリティグループのルールが効果的に集約され、より大きなルールセットが作成されます。
内部参照の場合、管理者はインバウンドセキュリティグループルールでセキュリティグループをソースセキュリティグループとして定義します。これにより、追加のインスタンスがソースグループ内のインスタンスにトラフィックを送信できるようになります。
Amazon VPCとCloudGuardサービスの機能
VPC は、Amazon Web Service 内の仮想プライベートクラウドです。これは、従来の仮想プライベートネットワーク(VPN) に近いプライベートネットワークです。VPC は、スケーラブルなインフラストラクチャの利点があります。VPC サブネットリソースの保護は、セキュリティグループとネットワークアクセスコントロールリストを含む複数のセキュリティレイヤーを適用することによって達成されます。
VPC の利点には、persistent プライベートおよび複数のIP アドレスをインスタンスに割り当てる機能があります。これにより、Administrator はIP アドレスを再割り当てせずにインスタンスを繰り返し停止および起動できます。ネットワークインタフェースは個別に定義され、特定のインスタンスにアタッチされます。
追加の VPC 機能は、インスタンスの Security Group メンバシップを即座に変更できる機能です。インスタンスは、実行中に別のセキュリティグループに切り替えることができます。インスタンスは、シングルテナントハードウェアでも実行できます。
詳細については、Amazon Virtual Private Cloud ユーザガイドを参照してください。
AWS Security Group の管理モード:完全保護または読み取り専用
CloudGuard では、Amazon AWS セキュリティグループは次のいずれかの方法で管理できます。完全保護または読み取り専用。フルプロテクションにより、CloudGuard管理者は、AWSセキュリティポリシーの定義、アクセスリース、およびダイナミックポリシーオブジェクトを操作する機能を完全に制御できます。
フルプロテクションモードでは、AWSセキュリティグループはCloudGuardからのみ管理できます。AWS environment (AWS コンソールなど) からセキュリティグループを変更しようとすると、CloudGuard によって検出され、CloudGuard タンパープロテクションメッセージがトリガーされます。CloudGuard は、行われた変更を上書きし、CloudGuard で定義されているセキュリティグループの定義に戻します。
読み取り専用モードでは、セキュリティグループはAWS 環境で定義および変更されますが、アラートと完全な監査証跡を使用してCloudGuardの変更を監視できます。このモードは、クラウド環境の管理からCloudGuard での管理への移行を計画するときに最初に使用します。また、他のツール(AWS OpsWorks など) によって自動化/管理されるセキュリティグループにも推奨される操作モードです。
次の表は、読み取り専用モードと完全保護モードの違いをまとめたものです。
モード | ポリシーの可視化 | アラート& 監査 | タンパ保護 | ポリシーの編集 | アクセスリース |
|---|---|---|---|---|---|
Monitor |
|
|
|
|
|
Full Protection |
|
|
|
|
|
セキュリティグループがフルプロテクションモードに切り替えられると、CloudGuard はグループ内の規則を正規化します。別のルールの範囲に完全に含まれ、同じポートを持つIP アドレス範囲のルールは削除されます。
たとえば、ポート22 のインバウンドトラフィックをアドレス192.168.10.10 に許可するルールは、ポート22 のインバウンドトラフィックをアドレス範囲192.168.0.0/16 に許可するルールに完全に含まれており、削除されます。
関連項目:
