AWSプラットフォームでは、TLS Inspectionポリシーが必要です:
-
[Access to AWS Certificate Manager (ACM) or S3]。プロキシ対象のサーバを追加する前に、ACMまたはS3接続を構成してください。最適なセキュリティを確保するために、ACMまたはS3内の証明書へのアプライアンスのアクセスをRead-onlyに制限してください。
-
[Certificate ARN loaded through ACM or S3]。これは、プライベートキーとペアになる保護されたサーバの公開鍵証明書です。証明書ファイルの合計サイズは512 KBを超えることはできません。各証明書のサイズは32 KB、プライベートキーPEMの最大サイズは8 KBです。
-
[Permissions to enable an Identity Access Management (IAM) user role or group to create a TLS service policy]。最適なセキュリティを確保するために、必要最小限の権限のみを設定してください。アプライアンスのIAM Roleには、証明書マネージャおよび復号化に必要な証明書に対してReadおよびListアクションを付与するポリシーが必要です。これらの権限を設定するには、Identity and Access Managementに移動します。そこから、ナビゲーションで[Policies]を選択し、ACMポリシー、S3バケットポリシー、およびSecretsManagerポリシーを作成できます。ACMポリシーを作成するには、[Create Policy]をクリックし、JSONタブの下で次の権限をコピーして貼り付けます (arnidentifierをリソースの一意のARN識別子に置き換えます):
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "acm:ExportCertificate", "acm:DescribeCertificate", "acm:GetCertificate" ], "Resource": "arnidentifier" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "acm:GetAccountConfiguration", "acm:ListCertificates", "acm:ListTagsForCertificate" ], "Resource": "*" } ] }
S3バケットポリシーを作成するには、[Create Policy]をクリックし、JSONタブの下で次の権限をコピーして貼り付けます (arnidentifierをリソースの一意のARN識別子に置き換えてください):{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arnidentifier" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" } ] }
SecretsManagerポリシーを作成するには、[Create Policy]をクリックし、JSONタブの下で次の権限をコピーして貼り付けます (arnidentifierをリソースの一意のARN識別子に置き換えてください):{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": "arnidentifier" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "secretsmanager:GetRandomPassword", "secretsmanager:ListSecrets" ], "Resource": "*" } ] }
アプライアンスがTLS Inspectionに必要な秘密鍵のみを持つ独自の暗号ユーザアカウントを持っていることを確認してください。こうすることで、作成するシークレットにはアプライアンスのユーザアカウントの資格情報が含まれるようになります。各ポリシーに正しい権限を設定した後、[Roles]に移動し、[Attach Policy]をクリックして、各ポリシーをNetwork SecurityアプライアンスのIAMロールにアタッチします。IAMポリシーとロールの作成について詳しく学びます。AWSサービスへのIAMロールのアクセスを制限するについて詳しく学びます。 -
[Access to Hybrid Cloud Management (HCM)]。プロキシ対象のサーバを追加する前にHCM接続を構成してください。HCMはVirtual Applianceと同じ可用性リージョンゾーンに存在する必要があります。
-
[Access to a hardware security module (HSM)]。ウィザードから秘密鍵をアップロードしない場合にのみ、AWS CloudHSMなどのHSMが必要です。
-
[Access to AWS Key Management Service (KMS) and AWS Secrets Manager]。最適なセキュリティのために、各Appliancesに対してKMS ARNを作成し、ファイルシステム上のすべてのキーが暗号化されていることを確認してください。Appliancesで使用されているKMSカスタマーマスターキー (CMK) を削除、変更、または利用できなくすると、Appliancesは秘密鍵を復号できなくなり、関連するTLS Policiesは再起動後に自動的に無効になります。
-
[Server to be proxied, and access to its private key]。TLS Inspectionのために複数のプロキシを設定することはできますが、一度に設定できるプロキシは1つだけです。サーバを追加するには、ページに移動してください。
-
[A single managed Network Security virtual appliance]。複数のAppliancesをTLS Inspection用に構成することはできますが、一度に構成できるのは1つのApplianceのみです。Applianceは最低バージョン2021.8.0.11159である必要があります。スケーリンググループやスケールセットに属するAppliancesは現在サポートされていません。AWS CloudHSMを作成すると、HSMは特定のポート範囲に結び付けられたInbound Rulesを含む独自のセキュリティグループを作成します。このセキュリティグループをVirtual Applianceに追加して、ポート範囲内のいずれかのポートを介してHSMからキーを取得できるようにする必要があります。AWSでインスタンスを見つけて選択し、をクリックし、関連付けられたセキュリティグループとしてHSMクラスターを追加し、[保存]をクリックします。
-
[Either a single server with a protected static IP address, or, for servers running behind a load balancer, a subnet (CIDR).] サーバのIPアドレスを取得するには、サーバが配置されているAWSにアクセスし、[EC2]をクリックし、[Instances (running)]をクリックして、プライベートIPv4アドレスの下に指定されたIPアドレスをコピーします (これはAWSにのみアクセス可能なIPアドレスです)。例えば、
192.0.2.0
、またはCIDRを使用する場合は198.51.100.0/24
です。サブネットは8から32の範囲にすることができます。[NOTE]Network Securityは現在、TLS InspectionのためのAWS Gateway Load Balancer (GWLB) をサポートしていません。 -
[Server’s public certificate]。アクセスを有効にするには、ACMを使用するか、Amazon S3バケットに配置します。
-
[Private key]。AWS CloudHSMを使用するか、手動で独自の秘密鍵をアップロードすることができます。AWS CloudHSMを使用する場合は、Network Securityサービスが秘密鍵にアクセスできるように、最初にAWSでIAM Roleとシークレットを作成してください。