AWS セキュリティグループ


このセクションでは、CloudGuardコンソールでAWSセキュリティグループを作成および変更する方法について説明します。セキュリティグループが作成されるアカウントは、フルプロテクションモードである必要があります(これにより、AWSコンソールではなくCloudGuardでセキュリティグループを管理できます)。

VPC 用に新しい AWS セキュリティグループを作成できます (これを行うには、アカウントが Full-Protection である必要があります)。

  1. CloudGuard でNetwork Security に移動し、Security Groups を選択します。

  2. フィルタフィールドで、AWS アカウントを選択します。

  3. クリック セキュリティグループを追加するアカウントの反対側。

  4. 新しいセキュリティグループの名前と説明を入力し、Add をクリックします。

  5. グループにインバウンドサービスとアウトバウンドサービスを追加します。

    1. サービスの詳細を選択します。

    2. また、「ポート」ビヘイビアを「開く」と「制限する」のどちらにするかも選択します。「制限された」動作の場合は、受け入れるソース IP アドレスを個別の IP アドレス、IP リスト、または別の AWS セキュリティグループとして追加します。

    3. Create Serviceをクリックします。

  6. サービスにタグを追加し、検索できるようにします。タグのキー(名前) と値を入力し、Create をクリックします。

セキュリティグループの詳細を変更できます(これを許可するには、セキュリティグループはFull Protection モードである必要があります)。

  1. 変更する AWS セキュリティグループのリンクをクリックします。

  2. クリック 新しいサービス(インバウンドまたはアウトバウンド)を追加するには、Edit を使用してセキュリティグループ内のサービスの詳細を変更するか、Delete を使用して削除します。

  3. サービスの名前と説明を変更できます。サービスにソースを追加できます。

既存のセキュリティグループのコピーを作成することができます。コピーは同じ定義(サービスなど) を持ちます。新しいセキュリティグループを同じ VPC、または別の VPC に適用することを選択できます。

  1. クローンを作成する AWS セキュリティグループのリンクをクリックし、をクリックします。 をクリックします。

  2. 新しいセキュリティグループの名前と説明を入力します。別のVPC に割り当てる必要がある場合は、Other VPCs を選択します。

  3. リストからアカウント、リージョン、VPC を選択し、Add をクリックしてセキュリティグループをVPC に割り当てます。複数の VPC に割り当てることができます。

各 AWS セキュリティグループの保護モードを (個別に) 完全保護に変更できます (読み取り専用に切り替えることもできます)。このモードでは、CloudGuard コンソールでのみセキュリティグループに変更を加えることができ、AWS コンソールでは変更を加えることができません。AWS コンソールまたはその他の場所で行った変更は、CloudGuard によって検出され、CloudGuard の定義に戻されます。

セキュリティグループをフルプロテクションモードに設定できるのは、AWS アカウントがフルプロテクションモードでCloudGuard によって管理されている場合のみです。アカウントが読み取り専用として管理されている場合は、完全保護に更新できます。

  1. Security Groups ページに移動します。AWS 環境のセキュリティグループのリストが表示されます。

  2. 完全保護を適用するセキュリティグループをクリックします。

  3. 右上のスイッチを動かして、完全保護を有効にします。

  4. Enableをクリックして確定します。

これは「環境」ページでも行えます。

  1. Environments ページに移動します。すべてのクラウドプロバイダの環境のリストと、セキュリティグループを含むアセットのサマリが表示されます。

  2. 完全保護に変更するセキュリティグループを含むアカウントをクリックします。選択したアカウントのクラウドアセットのリストがリージョン別に表示されます。

    - セキュリティグループのいずれかをフルプロテクションに変更するには、アカウントがフルプロテクションモードである必要があります。

  3. セキュリティグループを含むリージョンのEdit をクリックします。これは、VPC で構成されるリージョン内の VPC とセキュリティグループの概要を示します。上部には、検出された新しいセキュリティグループに適用される動作モードCloudGuardが表示されます。次のいずれかのオプションを選択できます。

    • Read-Only - 新しいセキュリティグループは、どの規則も変更することなく、読み取り専用モードでCloudGuardに含まれます。

    • Full protection - 新しいセキュリティグループは、CloudGuardに含まれます。フルプロテクションモードでは、どの規則にも変更はありません。

    • Region lock - 新しいセキュリティグループがCloudGuardに含まれ、フルプロテクションモードでは、すべてのインバウンドおよびアウトバウンドルールがクリアされます。

    リージョン内の VPC のセキュリティグループの下に、各VPC の動作モードが一覧表示されます。

  4. 完全保護に変更するセキュリティグループの場合はFull Protection (CloudGuard; managed)、読み取り専用に変更するセキュリティグループの場合はRead-Only (Monitor mode) をクリックし、Save をクリックします。

    セキュリティグループをフルプロテクションモードに切り替える処理の一環として、CloudGuard はグループ内のルールを正規化します。同じポートの別のルールの範囲に完全に含まれているIPアドレス範囲のルールは削除されます。

    たとえば、ポート22 のインバウンドトラフィックをアドレス192.168.10.10 に許可するルールは、ポート22 のインバウンドトラフィックをアドレス範囲192.168.0.0/16 に許可するルールに完全に含まれているため、削除されます。

    - いずれかのオペレーションモードでSelect entire region をクリックし、リージョン内のすべてのセキュリティグループに対してこれを選択します。

    セキュリティグループのプロテクションモードは、CloudGuard API (v2) を使用して変更することもできます。詳細は、API ガイド を参照してください。