目次

Network Security AMIインスタンスの作成

Network Security AMIインスタンスを手動で作成してネットワークトラフィックを検査するには、次の各タスクを順番に実行します。


注意

「オプション1:Edgeの保護展開」を手動で展開する場合は、次の手順に従います。


1.セキュリティグループを作成する

Network Security には、2つ以上のセキュリティグループが必要です。これらのセキュリティグループは、ENIの作成時に使用されます。セキュリティグループについての詳細

EC2 DashboardでSecurity Groupsまでスクロールし、Create security groupをクリックします。

管理セキュリティグループ

Network Security 管理ポートにこのセキュリティグループを使用します。

  • Security Group Name: Management security groupと入力します。
  • Description: Allows you to access Network Security from the CLI and the Network Security management interfaceと入力します。
  • VPC: Inspection VPCを選択します。

管理グループを選択し、Inbound RulesタブとOutbound Rulesタブまでスクロールし、Edit Rulesをクリックして、必要なルールを追加します。

受信ルール

種類 プロトコル ポート範囲 送信元 説明
SSH TCP 22 <IP or CIDR addresses that need access to the management port for the Network Security instance> Network Security にSSHで接続し、CLIでインスタンスを管理できます。

送信ルール


注意

すべての宛先のすべてのポートのすべてのトラフィックに対して、このグループのアウトバウンドルールを開いたままにすることをお勧めします。


種類 プロトコル ポート範囲 送信元 説明
すべてのトラフィック すべて すべて 0.0.0.0/0 すべてのポートからすべての宛先へのすべてのトラフィックを許可

トラフィックセキュリティグループ

Network Security データポートにこのセキュリティグループを使用します。AWSは、データポートを通過するすべてのトラフィックをインバウンドトラフィックと見なすため、ネットワーク内からの接続のみを検査する場合でも、インターネットからのインバウンドトラフィックルールを許可する必要があります。

以下に示すインバウンドおよびアウトバウンドルールは、セキュリティグループに最低限必要なルールです。ネットワーク環境に必要なルールを追加しますが、このセキュリティグループでは、インバウンドルールとアウトバウンドルールが同じであることを確認してください。

  • Security Group Name: Traffic security groupと入力します。
  • Description: Allows all inbound traffic from the internetと入力します。
  • VPC: Inspection VPCを選択します。

注意

このセキュリティグループはできるだけオープンにして、Workload EC2インスタンスに関連付けられたセキュリティグループを使用してトラフィックを制限することをお勧めします。


受信ルール

種類 プロトコル ポート範囲 送信元 説明
すべてのトラフィック すべて すべて 0.0.0.0/0 ネットワークの内部または外部からのすべてのトラフィックを許可します。

送信ルール

種類 プロトコル ポート範囲 送信元 説明
すべてのトラフィック すべて すべて 0.0.0.0/0 ネットワークの内部または外部からのすべてのトラフィックを許可します。

2.IAMポリシーとロールを作成する

IAMポリシーを作成し、IAMロールにアタッチします。このIAMポリシーおよび役割では、 Network Security インスタンスから CloudWatchにメトリックスを送信できます。IAMロールの作成の詳細を参照してください。

ポリシーの作成

  1. IAMダッシュボードに移動します。

  2. Policiesをクリックし、Create policyをクリックします。

  3. JSONタブをクリックし、次の権限をコピーして貼り付けます。

    {
    "Version": "2012-10-17",
    "Statement":[
    {
    "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents"
    ],
    "Resource": "arn:aws:logs:*:*:*",
    "Effect": "Allow"
    },
    {
    "Action": "cloudwatch:PutMetricData",
    "Resource": "*",
    "Effect": "Allow"
    }
    ]
    }

  4. Review Policyをクリックし、次のパラメータを入力してからCreate policyをクリックします。

    • Name: CloudWatch_logs_policy
    • Description: Allows CloudWatch to track metric data

ロールを作成してポリシーをアタッチする

ポリシーを作成したら、ロールを作成し、 CloudWatch ログポリシーをそのロールにアタッチします。

  1. Policiesで、Rolesをクリックし、Create roleをクリックします。
  2. AWS serviceを選択し、この役割を使用するサービスとしてEC2を選択します。
  3. Next: Permissionsをクリックし、先ほど作成した CloudWatch_logs_policy を選択します。
  4. 必要に応じて、タグを追加し、Next: Reviewをクリックします。
  5. 役割名として「 CloudWatch_logs」と入力し、Create roleをクリックします。

3.S3 VPCエンドポイントポリシーを変更する

このセクションは、 Network Security インスタンスを、S3 VPCエンドポイントを使用する同じVPCに展開することを計画しているユーザにのみ適用されます。 Cloud One – Network Security 仮想アプライアンスがS3 バケット内のファイルにアクセスできるようにするには、エンドポイントのポリシーを変更する必要があります。

  1. VPCダッシュボードに移動し、Endpointsをクリックします。

  2. Network Security インスタンスを起動するVPCエンドポイントを選択します。

  3. エンドポイントのリストの下にあるPolicyタブを選択します。

  4. Edit Policyをクリックし、次のテキストを既存のポリシー文に追加します。

    "Statement": [
     {
       "Sid": "NetworkSecurityPolicy",
       "Effect": "Allow",
       "Principal": "*",
       "Action": [
         "s3:GetObject",
         "s3:GetObjectVersion",
         "s3:PutObject",
         "s3:PutObjectAcl"
       ],
       "Resource": [
         "arn:aws:s3:::network-security-*",
         "arn:aws:s3:::network-security-*/*"
       ]
     }
    ]

  5. Saveをクリックします。

4. Network Security インスタンスを作成します。

ワークロードVPCがある各 AZ に、 Network Security インスタンスを少なくとも1つ作成します。

  1. Cloud One – Network Security AMIsに移動します。または、次の手順に従って Network Security AMIを手動で検索します。

    1. EC2ダッシュボードに移動します。
    2. Imagesで、AMIsを選択します。
    3. Launchのドロップダウンメニューで、Public imagesを選択します。
    4. 画面上部の検索バーに「 Owner : 511311637224」と入力します。
  2. 表示されるリストから、AMIの最新バージョンを選択します。


    注意

    最新バージョンは、最も番号の大きいAMIです。たとえば、IPS_AMI--2020.10.0.10702の方がIPS_AMI--2020.10.0.10605よりも新しいです。


  3. 正しいAMIを選択したら、Launchをクリックします。

  4. インスタンスの種類を選択します。c5.xlargeインスタンスタイプを使用することをお勧めします。c5.xlargeインスタンスは、1Gbpsの持続的なレートでトラフィックを検査でき、ほとんどの検査ニーズをサポートします。


    検査の必要性を高めるには、より大きなインスタンスサイズを選択します。テストによると、インスタンスレートはインスタンスのサイズに比例します。c5nインスタンスの持続レートは、同じサイズの通常のc5インスタンスの4倍です。たとえば、c5.xlargeインスタンスが1Gbpsのトラフィックを検査できる場合、c5n.xlargeは4Gbpsを検査できます。

  5. Configure Instance Details画面で、次の情報を設定します。

    指定しない場合は、初期設定のままにします。

    • Network: Inspection VPCを選択します。

    • Subnet: 管理サブネットを選択します。

    • Auto-assign Public IP: Disableを選択します。

    • IAM role:Create a IAM role」で作成したIAMロールを選択します。

    • Shutdown behavior: Stopを選択します。

    • Network interfaces: AWSによって自動的に作成されたeth0を唯一のネットワークインタフェースとして残します。

    • Advanced details user data:次のテキストをコピーして貼り付けます。

    # -- START VTPS CLOUDWATCH
    log-group-name < Name your CloudWatch Log Group Here >
    # -- END VTPS CLOUDWATCH

  6. Add Storage画面で、サイズに24GiBを、ボリュームタイプにGeneral Purpose SSDを選択します。

  7. Configure Security Group画面で、Select an existing security groupをクリックし、作成した管理セキュリティグループを選択します。

  8. 入力した情報を確認し、Launchを選択してインスタンスを作成します。

  9. インスタンスを起動したら、SSHキーを選択するか作成します。

5. Elastic Network Interfaceの作成

SSHまたはHTTPSに接続する管理ポートは、AWSでeth0として自動的に作成されます。Network Security は、インスタンスごとに2つの追加ポート1Aと1Bを使用します。これらのポートを追加するには、2つの新しいENIを作成して、 Network Security インスタンスに接続します。Elastic Network Interfaceの詳細を確認してください。

  1. EC2ダッシュボードで、Network Interfaces(Network & Security)をクリックします。

  2. Create Network Interfaceをクリックして、1Aポートeth1を作成します。

    次のパラメータを入力します。

    • Description: eth1

    • Subnet: Inspection subnetを選択します。

    • IPv4 Private IP: 設定を Auto-assignのままにします。


      注意

      このポートに自動的に割り当てられるIPv4 IPをメモしてください。このアドレスは、後で展開プロセスで必要になります。


    • Security groups: Traffic security groupを選択します。

  3. 次に、Create Network Interfaceの順にクリックして、1Bポートeth2を作成します。

    次のパラメータを入力します。

    • Description: eth2

    • Subnet: Protected-public subnetを選択します。

    • IPv4 Private IP: Auto-assignのままにします。


      注意

      このポートに自動的に割り当てられるIPv4 IPをメモしてください。このアドレスは、後で展開プロセスで必要になります。


    • Security groups: Traffic security groupを選択します。

  4. ENIをアタッチする前に作成した Network Security インスタンスを停止します。

  5. EC2ダッシュボードから、Instancesに移動し、「Network Security インスタンスの作成」で作成した Network Security インスタンスを選択します。

  6. ActionsNetworkingAttach Network Interface の順にクリックし、1AポートENIのeth1をNetwork Securityインスタンスに接続します。

  7. 前の手順を繰り返して、1BポートENIの eth2 も Network Security インスタンスに接続します。

  8. ENIを接続したら、 Network Security インスタンスを再起動します。

  9. Network Interfacesページに戻ります。

  10. eth1を右クリックし、Change Source/Dest. Checkをクリックします。 Disableを選択します。

  11. 上記の手順を繰り返して、eth2の送信元/送信先チェックも無効にします。送信元と送信先のチェックの詳細を表示

6. Network Security の追加設定

残りの設定要件を完了します。これらの設定により、仮想セグメントが作成され、インスタンスが Network Security 管理インタフェースに登録され、高可用性を設定する場合に使用される CloudWatch メトリックが作成されます。

このタスクを完了するには、次の情報が必要です。

コンポーネント 説明
1AポートのIPアドレス 1Aのeth1用に自動生成されたIPv4プライベートIPアドレス。
検査サブネットCIDRプレフィックス長 検査サブネットCIDRブロックのスラッシュの後の10進数。
1BポートのIPアドレス 1B、eth2用に自動生成されたIPv4プライベートIPアドレス。
サニタイズされたサブネットCIDRプレフィックス長 サニタイズされたサブネットCIDRブロックのスラッシュの後の10進数。
Cloud One アプライアンス展開トークン Network Security管理インタフェース用のCloud Oneアプライアンスの展開トークン
VPC CIDR VPC CIDRブロック番号。
  1. インスタンスにSSHで接続します。

  2. 次のコマンドを実行します。

    edit  
    virtual-segments  
    virtual-segment "cloud formation"  
    delete route all  
    route 0.0.0.0/0 <Gateway IP Address of Inspection Subnet>  
    route <VPC CIDR> <Gateway IP Address of Protected-Public Subnet>  
    exit  
    commit  
    exit
    
    high-availability  
    cloudwatch-health period 1  
    commit  
    exit
    
    exit  
    save-config -y  
    cloudone register <deployment-token>
    

7.検査のためにトラフィックをルーティングする

Network Security インスタンスの設定が完了したら、インスペクションのためにインスタンスを通過するようにネットワークトラフィックをルーティングします。展開オプションに応じて、適切なルートテーブルを使用します。

すでに作成したルートテーブルを、VPCの各AZについて、以下のルートテーブルと一致するように変更します。これにより、トラフィックは Network Security を経由して検査されます。

VPCアクセスルートテーブル

送信先 対象
<VPC CIDR> ローカル
<protected-public subnet CIDR> eni-1A

保護されたパブリックルートテーブル

送信先 対象
<VPC CIDR> ローカル
0.0.0.0/0 eni-1B

保護されたプライベートルートテーブル

送信先 対象
<VPC CIDR> ローカル
0.0.0.0/0 NATゲートウェイ
ON PREM CIDRs eni-1B

管理ルートテーブル

送信先 対象
<VPC CIDR> ローカル
0.0.0.0/0 NATゲートウェイ
ON PREM CIDRs eni-1B

詳細画像

次の図は、 Network Security インスタンスを挿入した後のネットワーク環境の詳細を示しています。