Alibaba Cloud [ナレッジドキュメント] セキュリティグループの仕様と設定方法 Version 1.0 (2017/3/2) 1. 概要 Alibaba Cloud ECSにはセキュリティグループというアクセス制限機能があります。本ドキュメ ントはセキュリティグループについての仕様および設定方法について記載します。 2. セキュリティグループとは セキュリティグループは、ECSに適応できるファイアーウォール機能です。ECSインスタンス への入力トラヒック、ECSインスタンスからの出力トラフィックに対して、通信種別に応じて許 可・拒否の制限を与えることができます。OSの備えるファイアーウォール機能(firewalldや iptables、Windowsファイアーウォールなど)とは異なり、複数のサーバに対して通信設定をまと めて管理することができます。 3. 適応順序について セキュリティグループ(※以下、図中では「SG」と記載します)には、ネットワークタイプが あり、ClassicネットワークとVPCに分けられます。 ● Classicネットワーク:インターネット受信、インターネット送信、イントラネット受 信、イントラネット送信の4つのポリシーを制御できます。 ● VPC:イントラネット受信、イントラネット送信の2つのポリシーを制御できます。 また、セキュリティグループとECSは多対多の組み合わせ設定が可能で、1つのECSは最大で5 つのセキュリティグループに属することができます。複数のセキュリティグループが設定された ECSのアクセス制限は、適応されたセキュリティグループのルールセットが統合されたものとな ります。統合した際のルールの適応順序は、プライオリティに基いて適応され、同じプライオリ © 2017 SB Cloud Corp. © 2009-2017 Alibaba Cloud. Alibaba Cloud [ナレッジドキュメント] セキュリティグループの仕様と設定方法 Version 1.0 (2017/3/2) ティ、同じ通信条件のルールがあれば、拒否が優先されます。 セキュリティグループのデフォルト設定は以下の通りです。 ● システム自動設定セキュリティグループ(ECSの起動時に自動で構成されるセキュリティ グループ)の場合、デフォルトではプライオリティ110で全て許可のルールが設定されま す。 ● ユーザー設定セキュリティグループの場合、ルールは空となり、この場合、全ての受信ト ラヒックが拒否され、全ての送信トラヒックは許可されます。 4. ルールの設定方法 ルール設定は、プロトコル、アクセス元等を指定できます。下図はセキュリティグループへの ルール追加画面の例です。 © 2017 SB Cloud Corp. © 2009-2017 Alibaba Cloud. Alibaba Cloud [ナレッジドキュメント] セキュリティグループの仕様と設定方法 Version 1.0 (2017/3/2) 4-1. NICタイプ イントラネット、インターネットから選択できます。VPCの場合、インターネットへのNICは 存在しないため、インターネットを選択した場合も、イントラネットに変更されて適応されま す。 4-2. ルールの方向 受信または送信が選択できます。 4-3. 権限付与ポリシー 許可または拒否(Allow/Deny)が選択できます。 4-4. プロトコルタイプ 「すべて」、TCP、UDP、ICMP、GREが選択できます。 4-5. ポート範囲 プロトコルタイプがTCP、UDPの場合、通信ポート範囲が指定できます。ポート範囲は、「 <FROM>/<TO>」の形式となり、「1/65535」または「-1/-1」ですべてのポートを指定することが できます。特定のポートのみ指定する場合には「22/22」(SSHの場合)のように、FROMとTO に同じ値を設定することで設定します。 プロトコルタイプがICMP、GREおよび「すべて」の場合、ポート範囲設定は無効となり、該当 プロトコルまたはすべての通信が対象となります。 4-6. 権限付与タイプ 権限付与の方法を指定します。アドレスフィールドアクセスとセキュリティグループアクセス が指定可能です。 4-6-1. アドレスフィールドアクセス IPアドレスによって制限対象となるターゲットを指定します。ネットワークアドレス/ネットマ スクの形式で指定できます。デフォルトで指定されている「0.0.0.0/0」はすべてのアドレスに マッチするため、全ての通信対象について、許可・拒否の設定となります。 4-6-2. セキュリティグループアクセス 特定のセキュリティグループが付与されているECSからのアクセスを、セキュリティグループ を指定して制御することが可能です。条件は以下の通りです。 同一リージョン、同一アカウント(同一VPC)のセキュリティグループを指定することで、該 © 2017 SB Cloud Corp. © 2009-2017 Alibaba Cloud. Alibaba Cloud [ナレッジドキュメント] セキュリティグループの仕様と設定方法 Version 1.0 (2017/3/2) 当セキュリティグループに属するECSからのアクセスを制御できます。 別アカウントのセキュリティグループを指定したアクセス制御も可能ですが、これはClassic ネットワークのみの対応となります。日本リージョンを始めとする一部リージョンではVPCのみ の提供となるため、この機能は利用できません。このとき各々のアカウントは、同一サイトのア カウントである必要があり、中国アカウント、国際アカウント、日本アカウントを跨いでのアカ ウント指定はできません。画面上、アカウントとして指定する内容は、アカウントID(コンソー ルのユーザー情報の「Account ID」※数字列)となります。 4-8. プライオリティ 1〜100の値で優先度を指定できます。1が最も優先度が高く、最も先に評価され、100が最後に 評価されます。システムのデフォルトで指定される「110」のような、100を超えるプライオリ ティ値は、ユーザーは設定できません。 5. ユースケース 以下、典型的なWebサービス環境におけるセキュリティグループ設定例を示します。 ここでは、SLB配下にフロントとしてWebサーバー、バックエンドとしてAPサーバーを配置 し、メンテナンス用に踏み台サーバーのある環境を想定します。 Webサーバーのサービス用に、「SG1」を定義します。内容は以下のようにします。 ● Webアクセス(TCP/80)許可 APサーバーのサービス用に、「SG2」を定義します。内容は以下のようにします。 ● セキュリティグループアクセスで、「SG1」からのAPアクセス(TCP/8009)許可 踏み台サーバーへのログイン用に、「SG3」を定義します。内容は以下のようにします。 © 2017 SB Cloud Corp. © 2009-2017 Alibaba Cloud. Alibaba Cloud [ナレッジドキュメント] セキュリティグループの仕様と設定方法 Version 1.0 (2017/3/2) ● SSHアクセス(TCP/22)許可 メンテナンス用に、「SG4」を定義します。内容は以下の様にします。 ● セキュリティグループアクセスで「SG3」からのSSHアクセス(TCP/22)許可 定義した各セキュリティグループを、サーバーの用途に合わせて図のように設定します。 このように設定することで、WebサーバーやAPサーバーが追加された場合にも、各々のサー バーに付与されたIPアドレスを意識することなく、全体のアクセスポリシーを維持することが可 能になります。またアクセス制限の変更も、セキュリティグループの用途毎に一括で変更が可能 になります。 このように、セキュリティグループを用いることで、サーバーの実構成を抽象化して、ポリ シーの管理を一元化することが可能になります。その結果、サーバーの追加・削除など、クラウ ドインフラの構成変更に影響を受けないセキュリティの管理を実現することも可能です。 © 2017 SB Cloud Corp. © 2009-2017 Alibaba Cloud. Alibaba Cloud [ナレッジドキュメント] セキュリティグループの仕様と設定方法 Version 1.0 (2017/3/2) ご利用上の注意事項 この資料は、Alibaba Cloudの提供するクラウドサービスの機能について説明したもので、 サービスのご利用を検討する際の参考となる技術的情報を提供するものです。 今後、本資料はクラウドサービスの機能追加・変更等に合わせて、予告なく変更される場合が あります。閲覧された情報は最新のものではない場合がありますので、予めご了承下さい。 改版履歴 日付 版数 2017/3/2 1.0 変更内容 初版作成 本文書中に記載されている社名・商品名等は各社の商標または登録商標です。 © 2017 SB Cloud Corp. © 2009-2017 Alibaba Cloud.
© Copyright 2024 ExpyDoc
