セキュリティグループの適用例
最終更新日:2022-12-26 10:41:53
セキュリティグループの設定は、Cloud Virtual Machines(CVM)へのアクセスを管理するために使用され、セキュリティグループのインバウンドとアウトバウンドルールを設定することにより、お客様のCVMにアクセスできるかまたは他のネットワークリソースにアクセスできるかどうかを設定できます。
デフォルトでは、セキュリティグループのインバウンドとアウトバウンドルールは次のとおりです。
データセキュリティのため、セキュリティグループのインバウンドルールは拒否ポリシーであり、外部ネットワークへのリモートアクセスを禁止します。CVMに外部からアクセスする必要がある場合は、対応するポートのインバウンドルールを許可にする必要があります。
セキュリティグループのアウトバウンドルールは、お客様のCVMが外部ネットワークリソースにアクセスできるかどうかを設定するために用います。「すべてのポートを開放する」または「ポート22、80、443、3389を開放し、ICMPプロトコルを許可する」を選択した場合、セキュリティグループのアウトバウンドルールはすべてのポートを開放します。カスタムセキュリティグループルールを選択した場合、アウトバウンドルールはデフォルトで「すべて拒否」となるので、対応するポートのアウトバウンドルールを許可にして、外部ネットワークリソースにアクセスできるようにする必要があります。
一般的なユースケース
このドキュメントでは、セキュリティグループのいくつかの一般的なユースケースを紹介します。以下のケースが要件を満たしている場合は、対応するユースケースの推奨設定に従ってセキュリティグループを直接設定できます。
シナリオ1:SSH経由でLinux CVMにリモート接続する
事例:Linux CVMを作成し、SSH経由でCVMにリモート接続したい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「Linuxログイン」を選択し、ソースがWebShellプロキシIPであるプロトコルポート22を開放し、LinuxSSHログインを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、SSH経由でCVMにリモート接続できるIPソースを設定することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド方向 | Linuxログイン | すべてのIP:0.0.0.0/0 WebShellプロキシIP:詳細については、OrcatermプロキシIPアドレスの置き換えに関する通知 をご参照ください IPの指定:指定するIPまたはIPセグメントを入力します | TCP:22 | 許可 |
シナリオ2:RDP経由でWindows CVMにリモート接続する
事例:Windows CVMを作成し、RDP経由でCVMにリモート接続したい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「Windowsログイン」を選択し、ソースがWebRDPプロキシIPのプロトコルポート3389を開放し、Windowsリモートログインを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、RDP経由でCVMにリモート接続できるIPソースを設定することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド方向 | Windowsログイン | すべてのIP:0.0.0.0/0 WebRDPプロキシIP: 81.69.102.0/24 106.55.203.0/24 101.33.121.0/24 101.32.250.0/24 IPの指定:指定するIPまたはIPセグメントを入力します | TCP:3389 | 許可 |
シナリオ3:パブリックネットワークがCVMにpingできるようにする
事例:CVMを構築し、このCVMと他のCVM間の通信ステータスが正常であるかどうかをテストしたい場合。
解決策:pingプログラムを使用してテストを行います。手順は、セキュリティグループルールの追加 を行うときに、「タイプ]で「Ping」を選択し、ICMPプロトコルポートを開放して、その他のCVMがICMPプロトコルを介してCVMにアクセスすることを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、ICMPプロトコルを介したCVMへのアクセスを許可するIPソースを設定することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | Ping | すべての IP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | ICMP | 許可 |
シナリオ4:Telnetを介してCVMにリモートログイン
事例:Telnetを介してCVMにリモートログインしたい場合。
解決策:Telnetを介してCVMにリモートログインする必要がある場合は、セキュリティグループルールの追加 を行うときに、以下のセキュリティグループのルールを設定する必要があります。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド方向 | カスタマイズ | すべての IP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | TCP:23 | 許可 |
シナリオ5:HTTPまたはHTTPSを介してWebサービスへのアクセスを開く
事例:お客様がウェブサイトを構築し、ユーザーにHTTPまたはHTTPSを介してお客様が構築したウェブサイトにアクセスしてほしい場合。
解決策:HTTPまたはHTTPSを介してCVMにアクセスする必要がある場合は、セキュリティグループルールの追加 を行うときに、実際のニーズに応じて以下のセキュリティグループのルールを設定する必要があります。
パブリックネットワーク上のすべてのIPにこのウェブサイトへのアクセスを許可します
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | HTTP(80) | 0.0.0.0/0 | TCP:80 | 許可 |
インバウンド | HTTPS(443) | 0.0.0.0/0 | TCP:443 | 許可 |
パブリックネットワークの一部のIPアドレスがこのウェブサイトへのアクセスを許可します。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | HTTP(80) | ウェブサイトへのアクセスが許可されているIPアドレスまたはIPアドレスセグメント | TCP:80 | 許可 |
インバウンド | HTTPS(443) | ウェブサイトへのアクセスが許可されているIPアドレスまたはIPアドレスセグメント | TCP:443 | 許可 |
シナリオ6:外部IPが指定ポートにアクセスすることを許可する
事例:業務をデプロイした後、指定されたサービスポート(例:1101)に外部からアクセスできるようにしたい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「カスタム」を選択し、プロトコルポート1101を開放して、指定された業務ポートへの外部アクセスを許可します。
また、実際のニーズに応じて、すべてのIPを解放するか、またはIP(IPセグメント)を指定して、指定されたサービスポートのIPソースへのアクセスを許可することもできます。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | カスタマイズ | すべてのIP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | TCP:1101 | 許可 |
シナリオ7:外部IPアドレスから指定したポートへのアクセスを拒否する
事例:業務をデプロイした後、指定されたサービスポート(例:1102)に外部からアクセスされないようにしたい場合。
解決策:セキュリティグループルールの追加 を行うときに、「タイプ」で「カスタム」を選択し、プロトコルポート1102を構成し、「ポリシー」を「拒否」に設定して、指定されたサービスポートへの外部アクセスを拒否します。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | カスタマイズ | すべてのIP:0.0.0.0/0 IPを指定:指定したIPまたはIPセグメントを入力します | TCP:1102 | 拒否 |
シナリオ8:CVMが特定の外部IPへのアクセスのみを許可
事例:CVMが特定の外部IPアドレスのみアクセスできるようにします。
ソリューション:以下の設定を参照し、次の2つのアウトバンドのセキュリティグループルールを追加します。
CVMインスタンスが特定の外部IPアドレスにアクセスできるようにします。
インスタンスが任意のプロトコルを介してパブリックIPアドレスにアクセスすることを禁止します。
ご注意:
アクセスを許可するルールは、アクセスを拒否するルールより優先する必要があります。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
アウトバンド | カスタマイズ | CVMがアクセスできる特定のパブリックIPアドレス | 必要なプロトコルとポート | 許可 |
アウトバンド | カスタマイズ | 0.0.0.0/0 | ALL | 拒否 |
シナリオ9:CVMが特定の外部IPにアクセスすることを拒否する
事例:CVMが外部の特定のIPアドレスにアクセスできないようにします。
解決策:次の構成を参照して、セキュリティグループルールを追加してください。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
アウトバンド | カスタマイズ | インスタンスからのアクセスを拒否する特定のパブリックIPアドレス | ALL | 拒否 |
シナリオ10:FTPを使用してファイルをアップロードまたはダウンロードする
事例:FTPソフトウェアを利用して、CVMにファイルをアップロードまたはダウンロードする場合。
解決策:次の構成を参照して、セキュリティグループルールを追加してください。
方向 | タイプ | ソース | プロトコルポート | ポリシー |
インバウンド | カスタマイズ | 0.0.0.0/0 | TCP:20-21 | 許可 |
複数シーンの組み合わせ
実際のシナリオでは、業務ニーズに応じて複数のセキュリティグループルールを設定する必要がある可能性があります。例えば、インバウンドルールまたはアウトバウンドルールを同時に設定します。CVM1台は、1つまたは複数のセキュリティグループにバインドできます。CVMが複数のセキュリティグループにバインドされている場合、複数のセキュリティグループが上から下に順番にマッチングが実行されます。セキュリティグループの優先度はいつでも変更できます。セキュリティグループルールの優先度の説明については、ルールの優先度の説明 をご参照ください。
フィードバック