AWS環境でEdge保護展開オプションを手動で展開するには、次の手順に従ってください。このオプションは、Network Security管理インターフェイスのGet StartedウィザードおよびDeploy Protectionウィザードを使用して自動的に展開することもできます。詳細はこちら
この展開オプションでは、1つのVPCのみが必要で、VPCとインターネット間およびVPCとVPNゲートウェイ間のトラフィックを検査します。
この展開では、新しいVPCを作成するか、保護したい既存のAWSクラウドネットワーク内のVPCを特定してください。
  • [Create a new VPC:] サービスでVPCを検索して[VPC Dashboard]に移動し、[Your VPCs][Create VPC]をクリックします。ウィザードは複数のネットワークコンポーネントを一度に自動生成するため、VPCウィザードを使用してVPCを作成することはお勧めしません。代わりに、各ネットワークコンポーネントを個別に作成してください。
    この新しいVPCには、各アベイラビリティゾーン (AZ) ごとに最低でも/26 CIDRを含めることをお勧めします。この展開に必要な少なくとも2つのサブネットを作成するためのスペースがVPC CIDR範囲内にあることを確認してください。
    このVPCには、他のネットワーク内のVPCと区別するために、Inspection VPCのような固有の名前を付けることをお勧めします。
    次の画像はVPCの例を示しています。
    create_vpc_example1=b7b48713-e4cf-477e-bd6a-4fb31a0bd1f6.png
  • [Identify an existing VPC:] 既存のVPCには、各AZごとに未使用の/27 CIDRが含まれている必要があります。少なくとも2つのこの展開に必要なサブネットを作成するためのVPC CIDR範囲に空きがあることを確認してください。
    また、このVPCに一意の名前を付けて、ネットワーク内の他のVPCと区別できるようにすることをお勧めします。例えば、Inspection VPCなどです。
注意
注意
展開プロセスを進める際にメモを取るために、展開チェックリストを印刷することをお勧めします。
以下の画像は、この展開シナリオのネットワーク環境の詳細なビューを示しています。Network Securityインスタンスを作成して構成するまで、トラフィックは検査されません。トラフィックの検査を開始したときに、完全なネットワーク環境がどのように見えるかを確認してください。
pre_scenario1_route_table_am=5e72109a-4e7d-4cae-b042-9f156ba7e6da.png

1. サブネットを作成 親トピック

各AZでVPCのために以下のサブネットを作成してください。VPCダッシュボードから、[Subnets][Create subnet]をクリックします。
注意
注意
各サブネットを作成する際には、異なるIPv4 CIDRブロックを使用してください。サブネットCIDRブロックは、VPCに使用したCIDRに依存します。サブネットCIDRブロックの詳細はこちら
[Select the VPC and AZ where your public and private workloads are located when you create or identify each of these subnets.]
  • [Inspection subnet:] Network Securityインスタンスに送信されるElastic Network Interface (ENI) トラフィックに使用されます。このサブネットには、可能な限り小さいIPv4 CIDRブロックを使用することをお勧めします。
  • [Management subnet:]にはNetwork Securityインスタンスの管理ポートが含まれています。前のサブネットと同様に、小さなCIDRブロックを使用することをお勧めします。
  • [Protected-public subnet:] 保護したいパブリックインスタンス、パブリックロードバランサー、またはNATゲートウェイを含む既存のサブネットをすべて作成または特定します。既存のサブネットを選択する場合は、ルートテーブルを作成する際に識別しやすいように名前を[protected-public subnet]に編集することをお勧めします。
  • [Protected-private subnet:] プライベートインスタンス、プライベートロードバランサー、またはパブリックIPアドレスを持たない他のアプリケーションを含む既存のサブネットをすべて作成または特定します。Elastic Load Balancer (ELB) の背後にプライベートインスタンスやアプリケーションがある場合、このサブネットが必要です。既存のサブネットを選択する場合は、ルートテーブルを作成する際に識別しやすいように名前を[protected-private subnet]に編集することをお勧めします。新しいサブネットを作成する場合は、小さなCIDRブロックを使用することをお勧めします。
次の画像はサブネットの例を示しています。
create_subnet_example1=fa976e7f-a29a-4f2b-acef-a93833640be5.png

2. ゲートウェイを作成 親トピック

次のゲートウェイを作成してください。以下に指定されていない場合は、デフォルト設定を保持してください。
  • [Internet Gateway]
    インターネットゲートウェイは、VPCにインターネットへのアクセスを提供します。
    VPCダッシュボードから、[Internet Gateways][Create Internet Gateway]をクリックします。新しいゲートウェイを選択し、[Actions]をクリックして、[Attach to VPC]をクリックしてVPCに接続します。
  • [NAT Gateway]
    NATゲートウェイは、プライベートインスタンスおよびアプリケーションにインターネットへのアクセスを提供します。
    各AZにNATゲートウェイを作成または識別します。VPCダッシュボードから、[NAT Gateways][Create NAT Gateway]をクリックします。NATゲートウェイを作成する際に[protected-public subnet]を使用します。
    割り当てられたElastic IPがない場合は、新しいゲートウェイを作成する際にElastic IPを作成してください。
    注意
    注意
    NATゲートウェイを作成した後、[閉じる]をクリックします。次のセクションでルートテーブルを作成します。
  • [Virtual Private Gateway]
    データセンターまたはオンプレミスネットワークをVPCに接続し、そのトラフィックを検査するために、仮想プライベートゲートウェイを作成または特定します。仮想プライベートゲートウェイの詳細はこちら
    VPCダッシュボードから、[Virtual Private Gateways][Create Virtual Private Gateway]をクリックします。

3. ルートテーブルを作成 親トピック

これらのルートテーブルは、ネットワークトラフィックがNetwork Securityインスタンスをバイパスするように構成されています。Network Securityインスタンスを作成した後、トラフィックを検査のためにNetwork Securityにルーティングするようにテーブルを変更してください。
  • VPCダッシュボードから、[Route Tables][Create route table]をクリックします。
  • 新しいテーブルを選択し、[Routes]タブと[Edit routes]をクリックします。
  • 次の情報を使用して、各ルートテーブルのルートを編集してください。
  • VPC内の各AZに対して同じルートテーブルのセットを作成します。

手順

  1. 外部アクセスルートテーブルを作成します。
    [inspection subnet]をVPCに関連付けるために使用されます。各VPCに外部アクセスルートテーブルを作成します。
    • [Name tag:] 外部アクセスルートテーブル
    • [VPC:] Inspection VPC
    • [Edit routes]
      配信先
      対象
      <VPC CIDR>
      ローカル
      0.0.0.0/0
      インターネットゲートウェイ
    • [Create subnet association]
      外部アクセスルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、VPC内のすべてのAZの検査サブネットを選択します。
  2. VPCアクセスルートテーブルを作成します。
    インターネットゲートウェイおよび仮想プライベートゲートウェイをVPCに関連付けるために使用されます。VPC内の各AZに対してVPCアクセスルートテーブルを作成します。
    • [Name tag:] VPCアクセスルートテーブル
    • [VPC:] Inspection VPC
    • [Edit routes]
      配信先
      対象
      <VPC CIDR>
      ローカル
    • [Create edge association]
      このルートテーブルにはサブネットの関連付けは必要ありません。代わりに、エッジ関連付けを作成します。VPCアクセスルートテーブルを選択し、[Edge Associations]タブをクリックします。[Edit edge associations]をクリックし、Associated gatewaysの下で、ドロップダウンリストから[Internet Gateway]および確認したい任意の[Virtual Private Gateways]を選択します。
  3. 保護されたパブリックルートテーブルを作成する
    [protected-public subnet]をVPCに関連付けるために使用されます。VPC内の各AZに対して保護されたパブリックルートテーブルを作成します。
    • [Name tag:] 保護されたパブリックルートテーブル
    • [VPC:] Inspection VPC
    • [Edit routes]
      配信先
      対象
      <VPC CIDR>
      ローカル
      0.0.0.0/0
      インターネットゲートウェイ
    • [Create subnet association]
      保護されたパブリックルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、保護されたパブリックサブネットを選択します。
  4. 保護されたプライベートルートテーブルを作成する
    [protected-private subnet]をVPCに関連付けるために使用されます。このルートテーブルは、保護されたプライベートサブネットを作成した場合にのみ必要です。VPC内の各AZに対して保護されたプライベートルートテーブルを作成してください。
    • [Name tag:] 保護されたプライベートルートテーブル
    • [VPC:] Inspection VPC
    • [Edit routes]
      配信先
      対象
      <VPC CIDR>
      ローカル
      0.0.0.0/0
      NATゲートウェイ
      ON PREM CIDRs
      仮想プライベートゲートウェイ
    • [Create subnet association]
      保護されたプライベートルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、保護されたプライベートサブネットを選択します。
  5. 管理ルートテーブルを作成する
    [management subnet]をVPCに関連付けるために使用されます。VPC内の各AZに管理ルートテーブルを作成します。
    • [Name tag:]管理ルートテーブル
    • [VPC:] Inspection VPC
    • [Edit routes]
      配信先
      対象
      <VPC CIDR>
      ローカル
      0.0.0.0/0
      NATゲートウェイ
      ON PREM CIDRs
      仮想プライベートゲートウェイ
    • [Create subnet association]
      管理ルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、管理サブネットを選択します。
    VPC、サブネット、ゲートウェイ、およびルートテーブルの設定が完了したら、Network Securityインスタンスを作成および構成できます。