潜在的な誤設定のトラブルシューティング
CloudGuard 設定エクスプローラおよびコンプライアンスレポートを使用して、セキュリティおよび接続の問題を引き起こす潜在的な設定ミスを識別できます。
Configuration Explorer ビュー
Configuration Explorer には、セキュリティグループのさまざまなビューが用意されており、それぞれセキュリティグループのさまざまな側面が強調表示されます。
以下のセクションでは、Configuration Explorer でクラウド環境を選択して視覚化する方法、さまざまなビューを使用する方法、および追加情報を表示するために実行できるアクションについて説明します。
セキュリティグループビュー
このビューには、ネットワーク内のセキュリティグループ間の関係が表示されます。それらはインターネットへの露出に従って論理的にグループ化され、それらの相互接続が示される。
以下の手順では、ネットワークを選択してこのビューを開く方法と、そのビューをナビゲートして使用する方法について説明します。
クラウドネットワークの選択 Network Security メニューからConfiguration Explorer を選択します。環境のリストが左側に表示されます。
リストからアカウントを選択します。クラウド環境があるリージョンのリストが表示されます。カッコ内の数字は、環境内のアセットの数を示します。
リージョンを選択します。
リージョン内のVPC はノード(円) として表示されます。AWS アカウントの場合、それらの間の接続は VPC 間のピアリング接続を示します。
ノードをクリックします。これはクラウドネットワークを表します。右側のペインには、ネットワーク内のアセットの種類と数が表示されます。
右下のLegend ボタンをクリックします。ノードの色はVPC の場所を指定します。
橙:選択したリージョンのVPC
青:他のリージョンのVPC
緑:他のクラウドアカウントからのVPC
灰:外部のCloudGuardアカウントからのVPC
セキュリティグループビュー このステップでは、前のステップで選択したネットワークが「セキュリティグループ」ビューに表示されます。このビューは、AWS クラウドアカウントでのみ使用できます。
Configuration ExplorerでVPC(前のセクション)を選択し、右上のSECURITY GROUPをクリックします。
環境のセキュリティグループビューが表示されます。
このビューには、以下が表示されます。
ビューは論理ゾーンに分割され、外部ゾーン(赤、左)、最も露出が大きい、内部ゾーン(緑、右)、最も露出が小さい、外部への露出レベルを示します。セキュリティグループノードは、エクスポージャーのレベルに応じてビューに配置されます。
各セキュリティグループはノードとして表示されます。フルプロテクションのCloudGuardによって管理されるセキュリティグループは、次のように表示されます。
読み取り専用として管理されるセキュリティグループは、次のように表示されます。
ソースは、IP アドレスとともにノードとしても表示されます。これらは通常、外部ゾーン(外部ソース) および内部ゾーン(インスタンス) にあります。
送信元とセキュリティグループの間の回線は、アドレスがセキュリティグループによって制御されることを示します。つまり、セキュリティグループ内のルールがアドレスに影響を与えます。
セキュリティグループ間の回線は、一方のセキュリティグループが他方に(ルールによって)影響することを示します。
セキュリティグループノードをクリックします。影響を受ける他のセキュリティグループが強調表示されます。矢印の方向は、他のグループがこのセキュリティグループに影響を与えるか(矢印は選択したセキュリティグループを指しています)、影響を受けるか(矢印はそのグループを指しています)を示します。
右側のペインには、セキュリティグループの詳細が表示されます。以下を示します。
インバウンドネットワークトラフィックの送信元(外部送信元、または別のセキュリティグループ)
目標
セキュリティグループのルールによって管理されるアセット
インバウンドルールとアウトバウンドルール
外部ソースノード(左側の外部ゾーン)をクリックします。ノードがビューで強調表示され、このソースに影響するセキュリティグループが強調表示されます。右側の詳細ペインには、ソースのIP アドレスが表示されます。
リンク記号をクリックします。
ノードソースまたはターゲットの場合は、そのCloudGuardページを開きます。
アセットビュー
このビューには、インスタンスやデータベースサーバなどのクラウドアセットと、それらの間の接続が表示されます。このビューの各ノードにはアセットが表示され、インターネットへのエクスポージャーに応じて論理的にグループ化され、それらの相互接続が表示されます。
このビューは、すべてのクラウドプロバイダで使用できます。
アセットビュー Configuration Explorer でVPC を選択し( )、右上のASSET VIEW をクリックします。
選択したネットワークのアセットビューが表示されます。
このビューは、「セキュリティグループ」ビューと同様に、露出レベルに応じてゾーンに分割されます。
ビューには以下の要素があります。
各ノードはアセットです。
ノード間の回線はネットワーク接続です。
ノードをクリックします。このビューでは、他のアセットへの接続が強調表示され、矢印の方向に接続の方向が示されます。
右側のペインには、ソース接続やターゲット接続(アセットが送受信できるアセットまたはセキュリティグループ)など、アセットの詳細が表示されます。
ソースを選択すると、CloudGuard保護アセットページで詳細が表示されます。
詳細ペインの下部にある Flow Logs リンクをクリックすると、選択したアセットでフィルタリングされた VPC フローログが表示されます。
効果的なポリシーグループ化 アセットビューでの有効なポリシーグループ化は、共通のセキュリティグループの影響を受けるノード(アセット)をグループ化します。たとえば、次の2 つのアセットはグループ化されます。
右側のペインには、グループ化されたアセットが表示されます。
ピアVPC の表示 ピア接続されたVPC のアセットは、アセットビューで確認できます。グラフの上部にあるPeer VPC スイッチをスライドさせて有効にします。
ナビゲーションとコントロール
ナビゲーションとコントロール メニューバーの次のコントロールを使用して、セキュリティグループまたはアセットビューを変更できます。
ボタン | 説明 |
|---|---|
| ビューを拡大または縮小する |
| ビュー内のグループの展開または折りたたみ(選択したグループ化に従って) |
| 選択したパラメータに従って外部ソースまたはセキュリティグループをグループ化します(共通アセットに影響します)。 |
| 名前で要素を検索します。テキストボックスにテキストを入力すると、テキストと一致する名前の要素がテキストボックスの下のリストに表示されます。さらに、同じ要素がビジュアルマップで強調表示されます。検索リストで要素を選択すると、マップ内で要素が選択されます。 |
コンプライアンスレポート
コンフィギュレーションミスの可能性を特定するために、定期的なコンプライアンスレポート(前回の評価からの変更を含む)をスケジュールします。
