VMware 担当者コラム
VMware・VMware Cloud on AWS
VMware Cloud on AWSのセキュリティ
-ファイアウォール機能について-
皆さま、こんにちは。
VMware担当の田畑です。
今回はVMware Cloud on AWSのネットワークセキュリティについてご紹介いたします。
※今回ご紹介する内容は2024/1 時点のものとなります。
VMware Cloud on AWSのネットワーク
VMware Cloud on AWSのネットワークはNSXにて構成されており、下図のような通信が可能です。
① ワークロードセグメント間
② ワークロードと管理ネットワーク間
③ ワークロードとインターネットやネイティブAWS
これらの通信は、ワークロードセグメント(仮想マシン用ネットワーク)を作成するとデフォルトでルーティング出来るようになっています。
また、NSXのファイアウォール機能によって、安全なネットワーク接続を確立することができます。
VMware Cloud on AWSは様々な環境との通信が可能ですが、インターネット(外部)と通信する際にはもちろん、内部のワークロードVM同士との通信の際にも、セキュアな接続が求められるケースがございます。
その様な場合にVMware Cloud on AWSでは、ゲートウェイファイアウォール及び分散ファイアウォールによって通信制御を行うことができます。
今回は、それぞれのファイアウォール機能についてご説明いたします。
VMware Cloud on AWSのゲートウェイファイアウォール機能
VMware Cloud on AWSのゲートウェイファイアウォールには、“コンピュートゲートウェイ(CGW)ファイアウォール”と“マネジメントゲートウェイ(MGW)ファイアウォール”の2種類があります。
いずれのファイアウォールもVMware Cloud on AWS外との通信を制御するためのものとなります。(North - Southファイアウォール)
この2種類の大きな違いは下記になります。
コンピュートゲートウェイファイアウォール:ユーザーが実際に運用するワークロードセグメントに対して通信制御が可能
マネジメントゲートウェイファイアウォール:vCenterやNSX、ESXi等の管理ネットワークに対して通信制御が可能
VMware Cloud on AWSの分散ファイアウォール機能
分散ファイアウォールは、East - West間の通信を制御するファイアウォールになります。
仮想マシン単位での通信制御はもちろん、複数の仮想マシンをグループ化し効率よく管理することが可能です。
VMware Cloud on AWSのファイアウォール設定
ファイアウォールの設定は、NSX Managerより実施します。
Securityタブより、どのファイアウォールのルール設定を行うのかを選択します。
どのファイアウォールの場合でも、ルールの追加に必要な入力項目は基本同じになります。
ポイントとなるのは、Sources(送信元)とDestinations(送信先)、サービスの指定の入力方法です。
まず、Sources(送信元)及びDestinations(送信先)には、ユーザーで定義したインベントリグループもしくは事前に定義されたグループを選択する必要がございます。
IPアドレスやNSXのセグメント、仮想マシン単位でグループ化することができます。
次にサービスの指定では、HTTPSやICMP等のリストからサービスを選択するか、ユーザー定義で新規サービスを追加することが可能です。
詳しい設定手順は下記メーカードキュメントをご確認ください。
今回のコラムは以上になります。
またVMware Cloud on AWSに関する内容をアップ予定ですのでお楽しみに。
VMwareの記事
※閲覧にはiDATEN(韋駄天)へのログインが必要です。