AWS環境でEdge保護展開オプションを手動で展開するには、次の手順に従ってください。このオプションは、Network Security管理インターフェイスのGet
StartedウィザードおよびDeploy Protectionウィザードを使用して自動的に展開することもできます。詳細はこちら。
この展開オプションでは、1つのVPCのみが必要で、VPCとインターネット間およびVPCとVPNゲートウェイ間のトラフィックを検査します。
この展開では、新しいVPCを作成するか、保護したい既存のAWSクラウドネットワーク内のVPCを特定してください。
-
[Create a new VPC:] サービスでVPCを検索して[VPC Dashboard]に移動し、[Your VPCs] → [Create VPC]をクリックします。ウィザードは複数のネットワークコンポーネントを一度に自動生成するため、VPCウィザードを使用してVPCを作成することはお勧めしません。代わりに、各ネットワークコンポーネントを個別に作成してください。この新しいVPCには、各アベイラビリティゾーン (AZ) ごとに最低でも/26 CIDRを含めることをお勧めします。この展開に必要な少なくとも2つのサブネットを作成するためのスペースがVPC CIDR範囲内にあることを確認してください。このVPCには、他のネットワーク内のVPCと区別するために、Inspection VPCのような固有の名前を付けることをお勧めします。次の画像はVPCの例を示しています。
-
[Identify an existing VPC:] 既存のVPCには、各AZごとに未使用の/27 CIDRが含まれている必要があります。少なくとも2つのこの展開に必要なサブネットを作成するためのVPC CIDR範囲に空きがあることを確認してください。また、このVPCに一意の名前を付けて、ネットワーク内の他のVPCと区別できるようにすることをお勧めします。例えば、Inspection VPCなどです。
![]() |
注意展開プロセスを進める際にメモを取るために、展開チェックリストを印刷することをお勧めします。
|
以下の画像は、この展開シナリオ前のネットワーク環境の詳細なビューを示しています。Network Securityインスタンスを作成して構成するまで、トラフィックは検査されません。トラフィックの検査を開始したときに、完全なネットワーク環境がどのように見えるかを確認してください。

1. サブネットを作成
各AZでVPCのために以下のサブネットを作成してください。VPCダッシュボードから、[Subnets] → [Create subnet]をクリックします。
![]() |
注意各サブネットを作成する際には、異なるIPv4 CIDRブロックを使用してください。サブネットCIDRブロックは、VPCに使用したCIDRに依存します。サブネットCIDRブロックの詳細はこちら。
|
[Select the VPC and AZ where your public and private workloads are located when you
create or identify each of these subnets.]
- [Inspection subnet:] Network Securityインスタンスに送信されるElastic Network Interface (ENI) トラフィックに使用されます。このサブネットには、可能な限り小さいIPv4 CIDRブロックを使用することをお勧めします。
- [Management subnet:]にはNetwork Securityインスタンスの管理ポートが含まれています。前のサブネットと同様に、小さなCIDRブロックを使用することをお勧めします。
- [Protected-public subnet:] 保護したいパブリックインスタンス、パブリックロードバランサー、またはNATゲートウェイを含む既存のサブネットをすべて作成または特定します。既存のサブネットを選択する場合は、ルートテーブルを作成する際に識別しやすいように名前を[protected-public subnet]に編集することをお勧めします。
- [Protected-private subnet:] プライベートインスタンス、プライベートロードバランサー、またはパブリックIPアドレスを持たない他のアプリケーションを含む既存のサブネットをすべて作成または特定します。Elastic Load Balancer (ELB) の背後にプライベートインスタンスやアプリケーションがある場合、このサブネットが必要です。既存のサブネットを選択する場合は、ルートテーブルを作成する際に識別しやすいように名前を[protected-private subnet]に編集することをお勧めします。新しいサブネットを作成する場合は、小さなCIDRブロックを使用することをお勧めします。
次の画像はサブネットの例を示しています。

2. ゲートウェイを作成
次のゲートウェイを作成してください。以下に指定されていない場合は、デフォルト設定を保持してください。
-
[Internet Gateway]インターネットゲートウェイは、VPCにインターネットへのアクセスを提供します。VPCダッシュボードから、[Internet Gateways] → [Create Internet Gateway]をクリックします。新しいゲートウェイを選択し、[Actions]をクリックして、[Attach to VPC]をクリックしてVPCに接続します。
-
[NAT Gateway]NATゲートウェイは、プライベートインスタンスおよびアプリケーションにインターネットへのアクセスを提供します。各AZにNATゲートウェイを作成または識別します。VPCダッシュボードから、[NAT Gateways] → [Create NAT Gateway]をクリックします。NATゲートウェイを作成する際に[protected-public subnet]を使用します。割り当てられたElastic IPがない場合は、新しいゲートウェイを作成する際にElastic IPを作成してください。
注意
NATゲートウェイを作成した後、[閉じる]をクリックします。次のセクションでルートテーブルを作成します。 -
[Virtual Private Gateway]データセンターまたはオンプレミスネットワークをVPCに接続し、そのトラフィックを検査するために、仮想プライベートゲートウェイを作成または特定します。仮想プライベートゲートウェイの詳細はこちら。VPCダッシュボードから、[Virtual Private Gateways] → [Create Virtual Private Gateway]をクリックします。
3. ルートテーブルを作成
これらのルートテーブルは、ネットワークトラフィックがNetwork Securityインスタンスをバイパスするように構成されています。Network Securityインスタンスを作成した後、トラフィックを検査のためにNetwork
Securityにルーティングするようにテーブルを変更してください。
- VPCダッシュボードから、[Route Tables] → [Create route table]をクリックします。
- 新しいテーブルを選択し、[Routes]タブと[Edit routes]をクリックします。
- 次の情報を使用して、各ルートテーブルのルートを編集してください。
- VPC内の各AZに対して同じルートテーブルのセットを作成します。
手順
- 外部アクセスルートテーブルを作成します。[inspection subnet]をVPCに関連付けるために使用されます。各VPCに外部アクセスルートテーブルを作成します。
-
[Name tag:] 外部アクセスルートテーブル
-
[VPC:] Inspection VPC
-
[Edit routes]配信先対象
<VPC CIDR>
ローカル0.0.0.0/0
インターネットゲートウェイ -
[Create subnet association]外部アクセスルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、VPC内のすべてのAZの検査サブネットを選択します。
-
- VPCアクセスルートテーブルを作成します。インターネットゲートウェイおよび仮想プライベートゲートウェイをVPCに関連付けるために使用されます。VPC内の各AZに対してVPCアクセスルートテーブルを作成します。
-
[Name tag:] VPCアクセスルートテーブル
-
[VPC:] Inspection VPC
-
[Edit routes]配信先対象
<VPC CIDR>
ローカル -
[Create edge association]このルートテーブルにはサブネットの関連付けは必要ありません。代わりに、エッジ関連付けを作成します。VPCアクセスルートテーブルを選択し、[Edge Associations]タブをクリックします。[Edit edge associations]をクリックし、Associated gatewaysの下で、ドロップダウンリストから[Internet Gateway]および確認したい任意の[Virtual Private Gateways]を選択します。
-
- 保護されたパブリックルートテーブルを作成する[protected-public subnet]をVPCに関連付けるために使用されます。VPC内の各AZに対して保護されたパブリックルートテーブルを作成します。
-
[Name tag:] 保護されたパブリックルートテーブル
-
[VPC:] Inspection VPC
-
[Edit routes]配信先対象
<VPC CIDR>
ローカル0.0.0.0/0
インターネットゲートウェイ -
[Create subnet association]保護されたパブリックルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、保護されたパブリックサブネットを選択します。
-
- 保護されたプライベートルートテーブルを作成する[protected-private subnet]をVPCに関連付けるために使用されます。このルートテーブルは、保護されたプライベートサブネットを作成した場合にのみ必要です。VPC内の各AZに対して保護されたプライベートルートテーブルを作成してください。
-
[Name tag:] 保護されたプライベートルートテーブル
-
[VPC:] Inspection VPC
-
[Edit routes]配信先対象
<VPC CIDR>
ローカル0.0.0.0/0
NATゲートウェイON PREM CIDRs
仮想プライベートゲートウェイ -
[Create subnet association]保護されたプライベートルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、保護されたプライベートサブネットを選択します。
-
- 管理ルートテーブルを作成する[management subnet]をVPCに関連付けるために使用されます。VPC内の各AZに管理ルートテーブルを作成します。
-
[Name tag:]管理ルートテーブル
-
[VPC:] Inspection VPC
-
[Edit routes]配信先対象
<VPC CIDR>
ローカル0.0.0.0/0
NATゲートウェイON PREM CIDRs
仮想プライベートゲートウェイ -
[Create subnet association]管理ルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、管理サブネットを選択します。
VPC、サブネット、ゲートウェイ、およびルートテーブルの設定が完了したら、Network Securityインスタンスを作成および構成できます。 -