Amazon Virtual Private Cloud
ユーザーガイド

セキュリティ

Amazon Virtual Private Cloud では、以下の 3 つの機能を使用して、仮想プライベートクラウド (VPC) のセキュリティを強化し、モニタリングできます。

  • セキュリティグループ—関連付けられた Amazon EC2 インスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールする

  • ネットワークアクセスコントロールリスト (ACL)—関連付けられたサブネットのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をサブネットレベルでコントロールする

  • フローフラグ—VPC のネットワークインターフェイスに出入りする IP トラフィックに関する情報をキャプチャする

VPC 内にインスタンスを起動するときに、作成した 1 つ以上のセキュリティグループを関連付けることができます。VPC 内のインスタンスごとに異なるセキュリティグループのセットに割り当てることができます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスは VPC のデフォルトのセキュリティグループに自動的に割り当てられます。セキュリティグループの詳細については、「VPC のセキュリティグループ」を参照してください。

VPC インスタンスはセキュリティグループでのみ保護できます。ただし、追加の保護レイヤーとしてネットワーク ACL を追加することができます。詳細については、「ネットワーク ACL」を参照してください。

VPC、サブネット、または個別のネットワークインターフェイスのフローログを作成して、インスタンスに出入りする許可または拒否された IP トラフィックをモニタリングできます。フローログデータは CloudWatch Logs に発行され、過度に制限されているか制限のないセキュリティグループとネットワーク ACL ルールを診断するのに役立ちます。詳細については、「VPC フローログ」を参照してください。

AWS Identity and Access Management を使用すると、組織内のだれがセキュリティグループ、ネットワーク ACL、およびフローログを作成/管理できるようにするかをコントロールできます。たとえば、ネットワーク管理者にだけその許可を付与し、インスタンスの起動のみが必要な作業員には付与しないようにできます。詳細については、「Amazon VPC のリソースに対するアクセスの制御」を参照してください。

Amazon セキュリティグループとネットワーク ACL は、リンクローカルアドレス (169.254.0.0/16) または AWS 予約済み IPv4 アドレスとやり取りされるトラフィックをフィルタ処理しません。予約済みアドレスは、サブネットの最初の 4 個の IPv4 アドレス (VPC の Amazon DNS サーバーアドレスを含む) です。同様に、フローログは、これらのアドレスに出入りする IP トラフィックをキャプチャしません。これらのアドレスでは、ドメインネームサービス (DNS)、動的ホスト構成プロトコル (DHCP)、Amazon EC2 インスタンスメタデータ、Key Management Server (KMS - Windows インスタンスのライセンス管理)、およびサブネットでのルーティングといったサービスをサポートしています。追加のファイアウォールソリューションをインスタンスで実装すれば、リンクローカルアドレスとのネットワーク通信をブロックできます。

セキュリティグループとネットワーク ACL の比較

以下の表は、セキュリティグループとネットワーク ACL の基本的な違いをまとめたものです。

セキュリティグループ ネットワーク ACL

インスタンスレベルで動作する

サブネットレベルで動作する

許可ルールのみをサポートする

許可ルールと拒否ルールをサポートする

ステートフル: ルールに関係なく、返されたトラフィックが自動的に許可される

ステートレス: 返されたトラフィックがルールによって明示的に許可される

トラフィックを許可するかどうかを決める前に、すべてのルールが評価される

トラフィックを許可するかどうかを決めるときに、順番にルールが処理される

だれかがインスタンスの起動時にセキュリティグループを指定した場合、または後でセキュリティグループをインスタンスに関連付けた場合にのみ、インスタンスに適用される

関連付けられたサブネット内のすべてのインスタンスに自動的に適用される (したがって、セキュリティグループを指定するユーザーに依存する必要はありません)

以下の図は、セキュリティグループおよびネットワーク ACL によるセキュリティレイヤーを示しています。たとえば、インターネットゲートウェイからのトラフィックは、ルーティングテーブルのルートを使用して適切なサブネットにルーティングされます。サブネットに対してどのトラフィックが許可されるかは、そのサブネットに関連付けられているネットワーク ACL のルールによってコントロールされます。インスタンスに対してどのトラフィックが許可されるかは、そのインスタンスに関連付けられているセキュリティグループのルールによってコントロールされます。


        セキュリティグループおよびネットワーク ACL を使用してトラフィックをコントロールする