構成エクスプローラ

CloudGuard 設定エクスプローラでは、クラウド環境のネットワークセキュリティをグラフィカルに視覚化できます。これには、セキュリティグループの階層と構造を示すビューと、クラウドアセットとその相互接続を示すビューがあります。これらのビューは、外界への露出レベルを示すように構成されています。これにより、ネットワークで誤って設定されているか、過度に公開されているアセットを識別できます。これらのビューからドリルダウンして、セキュリティグループまたはアセットのCloudGuardで詳細を表示したり、CloudGuard で直接的に修正したりすることもできます。

Configuration Explorer を使用して、インターネットからの機密コンポーネントへのアクセスなどのセキュリティ問題についてクラウドネットワークを分析したり、コンポーネントへのブロックされたパスなどの接続問題についてトラブルシューティングしたりできます。

利点

  • VPC とそのコンポーネント、およびクラウド境界へのインバウンドトラフィックの論理的な可視化

  • 複雑なネットワーク(例、多くのインスタンス、クロスVPC、クロスリージョン)を視覚化する

  • セキュリティ問題、ブロックされたパスを容易に識別する

  • エージェントレス & クラウド環境からの自動情報収集

  • 外部へのエクスポージャーのレベルに基づいた保護クラウドアセットの自動分類

  • セキュリティグループのリアルタイムトポロジマップ、およびセキュリティポリシー間の相互関係

  • クラウドアセット(セキュリティグループ、インスタンスなど)間のトラフィックフローおよびドロップされたトラフィックの可視化

  • クラウドアセットのリアルタイムトポロジビュー

  • 多層アプリケーションのセキュリティポリシーとクラウド環境における効果的なセキュリティポスチャとの相互作用の可視性

  • 統一的なクラウド間セキュリティ可視化体験

  • コンテキストVPCフローログ

  • 仮想ネットワーク接続を可視化する

ユースケース

  • ネットワークセキュリティと運用上の問題を発見する

  • 仮想ネットワークの要素間のセキュリティ関係を理解する

  • VPC内の要素を通過するリアルタイムトラフィックを検査する

  • 同一のセキュリティ構成を持つエレメントを見つける

  • 仮想ネットワーク間の接続を理解する

  • 新しいクラウド環境のトラブルシューティング:ブロックされた/開いた接続など;冗長で矛盾するポリシー

  • クラウド展開またはセキュリティポリシーに対する変更のリアルタイム評価

Configuration Explorer ビュー

Configuration Explorer には、セキュリティグループのさまざまなビューが用意されており、それぞれセキュリティグループのさまざまな側面が強調表示されます。

以下のセクションでは、Configuration Explorer でクラウド環境を選択して視覚化する方法、さまざまなビューを使用する方法、および追加情報を表示するために実行できるアクションについて説明します。

セキュリティグループビュー

このビューには、ネットワーク内のセキュリティグループ間の関係が表示されます。それらはインターネットへの露出に従って論理的にグループ化され、それらの相互接続が示される。

以下の手順では、ネットワークを選択してこのビューを開く方法と、そのビューをナビゲートして使用する方法について説明します。

  1. Network Security メニューからConfiguration Explorer を選択します。クラウドアカウントのリストが左側に表示されます。

  2. リストからアカウントを選択します。クラウド環境があるリージョンのリストが表示されます。カッコ内の数字は、環境内のアセットの数を示します。

  3. リージョンを選択します。

    リージョン内のVPC はノード(円) として表示されます。AWS アカウントの場合、それらの間の接続は VPC 間のピアリング接続を示します。

  4. ノードをクリックします。これはクラウドネットワークを表します。右側のペインには、ネットワーク内のアセットの種類と数が表示されます。

  5. 右下のLegend ボタンをクリックします。ノードの色はVPC の場所を指定します。

    • 橙:選択したリージョンのVPC

    • 青:他のリージョンのVPC

    • 緑:他のクラウドアカウントからのVPC

    • 灰:外部のCloudGuardアカウントからのVPC

このステップでは、前のステップで選択したネットワークが「セキュリティグループ」ビューに表示されます。このビューは、AWS クラウドアカウントでのみ使用できます。

  1. Configuration Explorer で、(前のセクションで) VPC を選択し、右上のメニューバーのリストからSECURITY GROUP を選択します。

    環境のセキュリティグループビューが表示されます。

    このビューには、以下が表示されます。

    • ビューは論理ゾーンに分割され、外部ゾーン(赤、左)、最も露出が大きい、内部ゾーン(緑、右)、最も露出が小さい、外部への露出レベルを示します。セキュリティグループノードは、エクスポージャーのレベルに応じてビューに配置されます。

    • 各セキュリティグループはノードとして表示されます。フルプロテクションのCloudGuardによって管理されるセキュリティグループは、次のように表示されます。

      読み取り専用として管理されるセキュリティグループは、次のように表示されます。

    • ソースは、IP アドレスとともにノードとしても表示されます。これらは通常、外部ゾーン(外部ソース) および内部ゾーン(インスタンス) にあります。

    • 送信元とセキュリティグループの間の回線は、アドレスがセキュリティグループによって制御されることを示します。つまり、セキュリティグループ内のルールがアドレスに影響を与えます。

    • セキュリティグループ間の回線は、一方のセキュリティグループが他方に(ルールによって)影響することを示します。

  2. セキュリティグループノードをクリックします。影響を受ける他のセキュリティグループが強調表示されます。矢印の方向は、他のグループがこのセキュリティグループに影響を与えるか(矢印は選択したセキュリティグループを指しています)、影響を受けるか(矢印はそのグループを指しています)を示します。

    右側のペインには、セキュリティグループの詳細が表示されます。以下を示します。

    • インバウンドネットワークトラフィックのソース(外部ソース、または別のセキュリティグループ)

    • 目標

    • セキュリティグループのルールによって管理されるアセット

    • インバウンドルールとアウトバウンドルール

    リンク記号をクリックします。 セキュリティグループソースまたはターゲットの場合は、そのCloudGuardページを開きます。

  3. 外部ソースノード(左側の外部ゾーン)をクリックします。ノードがビューで強調表示され、このソースに影響するセキュリティグループが強調表示されます。右側の詳細ペインには、ソースのIP アドレスが表示されます。

アセットビュー

このビューには、インスタンスやデータベースサーバなどのクラウドアセットと、それらの間の接続が表示されます。このビューの各ノードには、アセットが表示されます。それらはインターネットへの露出に従って論理的にグループ化され、それらの相互接続が示される。

このビューは、すべてのクラウドプロバイダで使用できます。

  1. Configuration Explorer でVPC を選択し( )、右上のメニューバーのリストからASSET VIEW を選択します。

    選択したネットワークのアセットビューが表示されます。

    このビューは、「セキュリティグループ」ビューと同様に、露出レベルに応じてゾーンに分割されます。

    ビューには以下の要素があります。

    • 各ノードはアセットです。

    • ノード間の回線はネットワーク接続です。

  2. ノードをクリックします。このビューでは、他のアセットへの接続が強調表示され、矢印の方向に接続の方向が示されます。

    右側のペインには、ソース接続やターゲット接続(アセットが送受信できるアセットまたはセキュリティグループ)など、アセットの詳細が表示されます。

    ソースを選択すると、CloudGuard保護アセットページで詳細が表示されます。

    詳細ペインの下部にある Flow Logs リンクをクリックすると、選択したアセットでフィルタリングされた VPC フローログが表示されます。

アセットビューでの有効なポリシーグループ化は、共通のセキュリティグループの影響を受けるノード(アセット)をグループ化します。たとえば、次の2 つのアセットはグループ化されます。

右側のペインには、グループ化されたアセットが表示されます。

ピア接続されたVPC のアセットは、アセットビューで確認できます。グラフの上部にあるPeer VPC スイッチをスライドさせて有効にします。

ナビゲーションとコントロール

メニューバーの次のコントロールを使用して、セキュリティグループまたはアセットビューを変更できます。

ボタン

説明

ビューを拡大または縮小する

ビュー内のグループの展開または折りたたみ(選択したグループ化に従って)

選択したパラメータに従って外部ソースまたはセキュリティグループをグループ化します(共通アセットに影響します)。

名前で要素を検索します。テキストボックスにテキストを入力すると、テキストと一致する名前の要素がテキストボックスの下のリストに表示されます。さらに、同じ要素がビジュアルマップで強調表示されます。検索リストで要素を選択すると、マップ内で要素が選択されます。