このページのトピック
展開の前提条件の確認
Get Startedウィザードの [Verify network asset] 画面には、CloudFormation展開スクリプトを作成してNetwork Securityを展開し、クラウド資産を保護する前に、AWS環境で満たす必要がある前提条件アイテムのリストが表示されます。
次の表は、 Network Security with Edge保護を展開する前に満たしておく必要があるすべての前提条件を示しています。これらの前提条件のほとんどは、AWSアカウントの管理コンソールから実行する必要があります。
注意
[Verify network asset] 画面には、満たされていない前提条件のみが表示されます。
| 前提条件 | 詳細な説明 | 要件を満たすには | |
|---|---|---|---|
| 1 | VPCにインターネットゲートウェイが接続されている | この展開オプションは主にインターネットからのトラフィックを保護するため、この前提条件によってインターネットゲートウェイがVPCに接続され、インターネットゲートウェイを保護できることが保証されます。 | 保護するVPCにインターネットゲートウェイを接続します。 |
| 2 | AZ のパブリックサブネットにインターネットゲートウェイルートが含まれている | この展開オプションでは、インターネットゲートウェイからルーティングされたパブリックサブネットのインターネットトラフィックを、検査のためにNetwork Security仮想アプライアンスに再ルーティングする必要があります。 この前提条件により、VPCには、アプライアンスが配置される各 AZ に、インターネットゲートウェイルートを持つパブリックサブネットが少なくとも1つ含まれます。 |
インターネットゲートウェイへのルートが関連付けられたルートテーブルを持つパブリックサブネットを少なくとも1つ追加します。 |
| 3 | IPv6 CIDRブロックはこのVPCに含まれていない | Network Security は、IPv6 CIDRブロックをサポートしていません。 この前提条件により、選択したVPCにIPv6 CIDRブロックが設定されないようになります。 |
選択したVPCにIPv6ルートが含まれている場合は、別のVPCを選択して展開を続行する必要があります。 |
| 4 | IPv6ルートがパブリックサブネットルートテーブルに含まれていない | この前提条件により、このVPCのパブリックサブネットルートテーブルにIPv6ルートが含まれないことが保証されます。この展開オプションはIPv6をサポートしていません。 | ルートテーブルからIPv6ルートを削除するか、IPv6ルートを含まないVPCを選択します。 |
| 5 | このリージョンのSSHキーペアが作成される | この前提条件により、 Network Security 仮想アプライアンスにアクセスできるように、保護を必要とするVPCと同じリージョンに少なくとも1つのSSHキーペアが存在することが保証されます。 | VPCと同じリージョンにSSHキーペアを作成します。 |
| 6 | このVPCに十分なCIDRスペースがある | この展開オプションでは、CloudFormationによってVPCに2つのサブネット(検査と管理のサブネット)が作成されるため、VPCには少なくとも2つの/ 28 CIDRブロックが必要です。 この前提条件により、この展開に必要なインスペクションおよび管理サブネットを作成するのに十分なCIDRスペースがVPCに含まれます。 |
VPC用に追加のCIDRスペースを作成します。 |
| 7 | Network Security AMIは、このリージョンで使用できる | この前提条件により、 Network Security 仮想アプライアンスAMIが公開され、このVPCと同じリージョンで使用可能になります。 | Network Security AMIがお住まいの地域でまだ利用できない場合は、トレンドマイクロのサポートチームに連絡して、この地域でAMIを共有してください。 Network Security 管理インターフェイスから、 Help → Supportをクリックします。 |
| 8 | 各 AZにNATゲートウェイがある | この展開オプションでは、管理サブネットからのトラフィックはNATゲートウェイを経由してルーティングされます。 この前提条件により、VPCのパブリックサブネットを含む各 AZ にNATゲートウェイが含まれることが保証されます。 Network Security 仮想アプライアンスが通信するには、NATゲートウェイが必要です。 |
パブリックサブネットを持つ AZ ごとにNATゲートウェイを作成します。 |
| 9 | ルートテーブルのエッジの関連付けが無効になっている | この展開オプションでは、トラフィックをパブリックサブネットではなく検査サブネットに送信するようにインターネットゲートウェイのルートが変更されます。 CloudFormationの実行中はルートテーブルとインターネットゲートウェイ間のエッジ関連付けを削除できないため、VPCがインターネットトラフィックをパブリックサブネットにルーティングするルートテーブルでエッジ関連付けを使用しないようにします。 |
ルートテーブルとインターネットゲートウェイとの関連付けを削除します。CloudFormation中に新しいルートテーブルが関連付けられます。 |
| 10 | インターネットゲートウェイルートがメインルートテーブルにない | この展開オプションでは、パブリックサブネットからインターネットゲートウェイにトラフィックを送信するルートが変更され、インターネットトラフィックがパブリックサブネットではなく検査サブネットに送信されるようになります。 この前提条件により、VPCはインターネットトラフィックをパブリックサブネットにルーティングするためにメインルートテーブルを使用しません。メインルートテーブルにインターネットゲートウェイルートが含まれている場合、新しいサブネットが作成されてもVPCは完全には保護されません。 |
メインルートテーブルにパブリックサブネットへのインターネットトラフィックのルートが含まれている場合は、このルートを削除するか、別のルートテーブルをメインルートテーブルとして指定します。 |
| 11 | Trend Micro Cloud One アカウントが仮想アプライアンスの上限を下回っている | この展開オプションでは、保護する必要がある各AZにNetwork Security仮想アプライアンスが配置されますが、各アカウントに配置できる仮想アプライアンスの数には制限があります。 この前提条件により、展開では、この Trend Micro Cloud One アカウントに許可されている最大数を超える仮想アプライアンスは作成されません。 |
Network Security管理インタフェースで、Help → Supportの順にクリックして、トレンドマイクロのサポートチームに連絡し、上限の引き上げを依頼してください。 |
| 12 | 各パブリックサブネットでIPアドレスを使用できる | この展開オプションの場合、 Network Securityは各パブリックサブネット内にENIを作成して、検査のためにインターネットトラフィックを仮想アプライアンスにルーティングします。 この前提条件により、パブリックサブネットには少なくとも1つのIPアドレスが含まれているため、サブネットにENIを接続できます。 |
新しいパブリックサブネットを作成するか、別のパブリックサブネットを使用するか、未使用のリソースをサブネットから削除してください。 |
| 13 | 指定されたAZにはパブリックサブネットが含まれている | この前提条件により、提供される保護の必要なAZのリスト内の各 AZ にパブリックサブネットが含まれます。 | パブリックサブネットを持つAZのみを、保護が必要なAZのリストに含めます。 |