このページのトピック
AWSのTLS要件
AWSプラットフォームの場合、TLS検査ポリシーには次のものが必要です。
-
AWS Certificate Manager(ACM)またはS3へのアクセス。プロキシ対象のサーバを追加する前に、ACMまたはS3接続を設定します。最適なセキュリティを確保するには、アプライアンスからACMまたはS3の証明書へのアクセスが読み取り専用に制限されていることを確認してください。
-
ACMまたはS3を通じてロードされた証明書ARN。これは、秘密鍵とペアになる保護対象サーバの公開鍵証明書です。証明書ファイルの合計サイズは512KBを超えることはできません。これには、証明書ごとに32KBの制限と8KBの最大秘密鍵PEMサイズが含まれます。
-
Identity Access Management(IAM)ユーザの役割またはグループがTLSサービスポリシーを作成できるようにするための権限。最適なセキュリティを確保するには、必要最小限の権限のみを設定してください。アプライアンスのIAMロールには、証明書マネージャに対する読み取りおよびリスト処理、および復号に必要な証明書を付与するポリシーが必要です。これらの権限を設定するには、 Identity and Access Managementに移動します。そこから、ナビゲーションから Policies を選択し、ACMポリシー、S3 バケット ポリシー、およびSecretsManagerポリシーを作成できます。
ACMポリシーを作成するには、 Create Policyをクリックし、[JSON]タブで次の権限をコピーして貼り付けます( arnidentifier をリソースの一意のARN識別子に置き換えます)。
<pre class="code" xml:space= "preserve">{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"acm:ExportCertificate",
"acm:DescribeCertificate",
"acm:GetCertificate"
],
"Resource": "arnidentifier"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"acm:GetAccountConfiguration",
"acm:ListCertificates",
"acm:ListTagsForCertificate"
],
"Resource": "*"
}
]
}
S3 バケットポリシーを作成するには、 ポリシーの作成をクリックし、[JSON]タブで、次のアクセス許可をコピーして貼り付けます( 識別子 をリソースの一意のARN識別子に置き換えます)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arnidentifier"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
[SecretsManager]ポリシーを作成するには、 Create Policyをクリックし、[JSON]タブで次の権限をコピーして貼り付けます( arnidentifier をリソースの一意のARN識別子に置き換えます)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": "arnidentifier"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"secretsmanager:GetRandomPassword",
"secretsmanager:ListSecrets"
],
"Resource": "*"
}
]
}
アプライアンスに、TLS検査に必要な秘密鍵のみを含む独自の暗号化ユーザアカウントがあることを確認します。これにより、作成したシークレットにアプライアンスのユーザアカウント資格情報が付与されます。
各ポリシーに適切な権限を設定したら、 Roles に移動し、 Attach Policy をクリックして、 Network Security アプライアンスのIAMロールに各ポリシーをアタッチします。IAMポリシーとロールの作成の詳細。IAMロールからAWSサービスへのアクセスの制限の詳細。
-
ハイブリッドクラウド管理(HCM)へのアクセス。プロキシするサーバを追加する前に、HCM接続を設定します。HCMは、仮想アプライアンスと同じ可用性のリージョンゾーンに配置する必要があります。
-
ハードウェアセキュリティモジュール(HSM)へのアクセス。ウィザードから秘密鍵をアップロードしないことを選択した場合のみ、AWS CloudHSMなどのHSMが必要です。
-
AWS Key Management Service(KMS)およびAWSSecrets Manager。セキュリティを最適化するには、アプライアンスごとにKMS ARNを作成して、ファイルシステム上のすべてのキーが暗号化されるようにします。アプライアンスで使用されているKMSカスタマーマスターキー(CMK)を削除、変更、または使用不可にすると、アプライアンスは秘密鍵を復号化できなくなり、関連付けられたTLSポリシーは再起動後に自動的に無効になります。
-
プロキシするサーバとその秘密鍵にアクセスします。TLS検査には複数のプロキシを設定できますが、一度に設定できるプロキシは1つだけです。サーバを追加するには、 Network > Appliances > appliancename ページに移動します。
-
単一の管理対象の Network Security 仮想アプライアンス。TLS検査用に複数のアプライアンスを設定できますが、一度に設定できるアプライアンスは1つだけです。アプライアンスのバージョンは2021.8.0.11159以上である必要があります。スケーリンググループまたはスケールセットに属するApplianceは現在サポートされていません。AWS CloudHSMを作成すると、HSMによって、特定のポート範囲に関連付けられた インバウンド ルールを含む独自のセキュリティグループが作成されます。ポート範囲内のいずれかのポートを介してHSMからキーを取得できるように、このセキュリティグループを仮想アプライアンスに追加する必要があります。AWSでインスタンスを探して選択し、 Actions > Security > Change security groupsの順にクリックし、HSMクラスタを関連するセキュリティグループとして追加して、 Saveをクリックします。
-
保護対象の静的IPアドレスを持つ単一のサーバ、またはロードバランサの背後で実行されるサーバの場合はサブネット(CIDR)。サーバのIPを取得するには、サーバが配置されているAWSに移動し、 EC2をクリックし、 Instances (running)をクリックし、[Private IPv4 address]で指定したIPアドレスをコピーします。 (これはAWSにのみアクセス可能なIPアドレスです)。たとえば、
192.0.2.0、CIDRを使用する場合は198.51.100.0/24です。サブネットの範囲は8〜32です。
注意
Network Security は現在、TLSインスペクション用のAWS Gateway Load Balancer (GWLB)をサポートしていません。
-
サーバの公開証明書。アクセスを有効にするには、ACMを使用するか、ACMをAmazon S3 バケットに配置します。
-
秘密鍵。AWS CloudHSMを使用するか、独自の秘密鍵を手動でアップロードできます。AWS CloudHSMを使用する場合は、最初にAWSでIAMロールとシークレットを作成して、 Network Security サービスが秘密鍵にアクセスできるようにしてください。