アドレスオブジェクト
[アドレスオブジェクト(Address Object)] は、定義方法に応じて、[セキュリティポリシールールセットルール(Security Policy Rule Set Rule)] の [送信元(Source)] または [宛先(Destination)] として、または [リバースプロキシサービスオブジェクト(Reverse Proxy Service Object)] の [ターゲットバックエンドアドレス(Target Backend Address)] として使用するための 1 つ以上の IP、CIDR、または FQDN のセットを表します。アドレスオブジェクトは、従来の構成を使用して静的に設定することも、クラウド構成を使用して動的に設定することもできます。
アドレスオブジェクトは、セキュリティポリシールールまたはルールセットの [送信元(Source)]、[宛先(Destination)]、または [リバースプロキシターゲット(Reverse Proxy Target)] フィールド内の 1 つ以上の IP、CIDR、または FQDN のセットを表します。また、リバース プロキシ サービス オブジェクト内のターゲット バックエンド アドレスとして定義することもできます。このセクションでは、送信元オブジェクトと宛先オブジェクトに焦点を当てます。
バージョン 24.04 以降、特定の IP アドレスまたは IPアドレスの範囲を除外するようにアドレスオブジェクトを設定できるようになりました。
送信元/宛先
これらのオブジェクトは、IP アドレスまたは CIDR に明示的にマッピングする一致基準を定義するために使用されます。オブジェクトはポリシールール内で参照され、ポリシールールが処理されるときにゲートウェイインスタンスに入るトラフィックに対して評価されます。
送信元および宛先アドレスオブジェクトは、ゲートウェイインスタンスに入るアプリケーション トラフィックを照合するために IP アドレスと CIDR が明示的に必要な場合に役立ちます。これらのオブジェクトは、ポリシールール定義の送信元フィールドと宛先フィールド内で参照されます。これらの各フィールドに入力するために使用されるアドレスオブジェクトのタイプは、トラフィックフロー、アプリケーションタイプ、および使用例によって異なります。
送信元または宛先アドレスオブジェクト
送信元または宛先アドレスオブジェクトは、セキュリティ ポリシー ルール セット内のルールの送信元または宛先を指定します。これは、送信元または宛先 IP アドレスに基づいてトラフィックを照合するために、ルールによって使用されます。さまざまなタイプのアドレスオブジェクトは、次のように定義されます。
IP/CIDR/FQDN(静的)アドレスオブジェクト
IP/CIDR/FQDN アドレスオブジェクトは、IP アドレス、CIDR ブロック、または FQDN のセットとして設定されます。IP/CIDR アドレスオブジェクトの例は次のとおりです。
-
DNS サーバーの宛先 IP。
-
SMTP リレーサーバーの宛先 IP。
-
NTP サーバーの宛先 IP。
-
アプリケーション ワークロードの送信元 IP またはサブネット。
FQDN アドレスオブジェクトは、DNS 解決に基づいて IP を許可またはブロックするための FQDN の明示的なセットを定義します。FQDN が FQDN アドレスオブジェクト内で定義され、ポリシールール内で参照される場合、ゲートウェイインスタンスは DNS 解決を実行して対応する IP アドレスを取得し、着信トラフィックを照合します。デフォルトでは、キャッシングは有効ではありません。この場合、DNS 解決は 60 秒ごとに実行され、ゲートウェイインスタンスは取得した解決を 60 秒間使用します。FQDN アドレスオブジェクト内で指定された FQDN が多数の(それぞれ 400 を超える)IP アドレスに解決される場合、キャッシングを有効にできます。この場合、キャッシュサイズやキャッシュ TTL と一緒に DNS 解決間隔を指定できます。
FQDN アドレスオブジェクトは、UDP ベース(例:NTP)、または要求パケットにホスト情報が存在しない TCP トラフィック(例:SMTP)のいずれかのアプリケーション トラフィックで照合する場合に便利です。いずれの場合も、たとえば内部ワークロードが接続する必要がある、適切なすべての NTP サーバーまたは SMTP サーバーの IP アドレスのリストを手動で定義するのではなく、FQDN アドレスオブジェクトを使用して、この種のアプリケーション トラフィックで照合することをお勧めします。
動的クラウド構成
クラウドネイティブなアドレスオブジェクトは、Multicloud Defense Controller によって定期的なインベントリ収集(API ベース)またはリアルタイムのイベントトラッキング(GCP パブ/サブ統合)を通じて検出される動的なクラウドリソースです。これらのリソースは、VPC/VNET、インスタンス ID、セキュリティグループ、サブネット ID などの個別のリソースである場合も、ユーザー定義のタグを介して参照されるリソースのセットである場合もあります。Multicloud Defense Controller は、リアルタイムのイベントトラッキングとターゲットを絞った API コールの組み合わせを使用して、クラウドリソースに関連付けられた IP アドレスを動的に入力します。したがって、クラウドネイティブリソースに後で加えられた変更は、このリソースを参照するアドレスオブジェクト内に自動的に反映されます。
![]() (注) |
クラウドネイティブの構造を使用して送信元または宛先アドレスオブジェクトを定義すると、単一クラウド環境とマルチクラウド環境の両方で真にダイナミッククラウドポリシーを作成できます。クラウド環境内でクラウドリソースが追加、削除、または変更されると、アドレスオブジェクトはこれらの変更を反映するように動的に更新されるため、境内のすべてのアプリケーションと機能でセキュリティ態勢が自動的に更新されます。 |
VNet および VPC 環境でのユーザー定義タグ
タグは、一連のタグで定義されたクラウドリソースの IP アドレスまたは CIDR をアドレスオブジェクトにマッピングします。GCP のラベルはキーと値のペアであり、これはさまざまな環境(開発、ステージング、生産など)用にリソースを分類するためによく使用されます。送信元または宛先アドレスオブジェクト内では、ユーザー定義のタグを使用して、インスタンス、VPC/VNET、サブネット、セキュリティグループなどのリソースを参照できます。最も一般的な用途として、組織はタグを使用してインスタンスを分類します。
タグベースのポリシールールは、動的クラウドポリシーの非常に強力なコンポーネントです。特定のタグを持つインスタンスのグループに対して、詳細なポリシールールを定義することができます。これらのポリシールールを設定すると、適切なタグを持つ新しいインスタンスが展開されるたびに、それが属するインスタンスのカテゴリに定義されている対象のセキュリティポリシーが自動的に継承されます。これは、Multicloud Defense Controller が新しいインスタンスが展開されたことを検出するだけでなく、そのインスタンスに割り当てられているタグも検出するためです。その後、このインスタンスベースのタグを参照する送信元または宛先アドレスオブジェクトを、新しいインスタンスの IP アドレスで動的に更新します。インスタンスが誤ったタグを使用したりタグなしで展開されている場合、適切なポリシールールと一致しないため、他のリソースとの通信は許可されません。
VNet と VPC では、タグによって、VPC に関連付けられた CIDR がアドレスオブジェクトの CIDR にマッピングされます。VPC または VNET 内に展開されたインスタンスに一致するルールを、コンテキストに応じて作成できます。検出された VPC または VNET の名前を使用して一致基準を定義できるため、特定の VPC または VNET に関連付けられている CIDR を手動で調べる必要がなくなります。VPC または VNET への変更は、介入なしでポリシールールで動的に更新されます。VPC または VNET が削除され、その場所に新しい VPC/VNET が作成されると、 CIDR を再利用してもルールは適用されなくなります。
インスタンス ID
インスタンス ID は、インスタンスに関連付けられた IP アドレスを、アドレスオブジェクト内の IP アドレスのリストにマッピングします。これにより、インスタンスの設定を手動で調べることなく、特定のインスタンスのポリシールールをコンテキストに応じて作成できます。ポリシールールには、インスタンスへの変更またはインスタンスの削除が反映されます。ポリシールールは他のインスタンスには適用できないことに注意してください。これは、インスタンスが削除され、同じ設定の新しいインスタンスに置き換えられた場合でも同じです。
セキュリティ グループ(Security Group)
セキュリティグループは、セキュリティグループに関連付けられたネットワークインターフェイスの IP アドレスを、アドレスオブジェクト内の IP アドレスのリストにマッピングします。セキュリティグループへのフィールドの追加または削除など、インターフェイス関連の変更は、アドレスオブジェクト内の IP アドレスのリストに動的に反映されます。これにより、組織は既存のセキュリティグループを、ゲートウェイ データパス パイプラインの高度なセキュリティ機能に連携させることができます。
サブネット ID
サブネット ID は、サブネットに関連付けられた CIDR をアドレスオブジェクトの CIDR にマッピングします。これにより、サブネットの設定を手動で調べることなく、特定のサブネット ID に関連付けられたすべてのリソースのポリシールールをコンテキストに応じて作成できます。VPC または VNET は通常、複数のサブネットに分割され、これらのサブネット内に展開されたリソースは異なる目的で使用される場合があります。たとえば、あるサブネット内のインスタンスには、特定の高度なセキュリティプロファイルのセットが必要な場合や、異なるトラフィックフロー要件がある場合があります。サブネットごとに異なるセキュリティルールを作成するプロセスを簡素化するために、Multicloud Defense では、サブネットの名前を一致基準に使用するポリシールールを定義できます。したがって、各サブネットには、一意のセキュリティプロファイルを持つ一意のポリシールールを設定できます。サブネットおよびサブネット内に展開されたインスタンスへの変更は、ポリシールールに動的に反映されます。
Geo IP
Geo IP アドレスオブジェクトは、Geo IP の国名のセットとして設定されます。これらのオブジェクトは、地理的な場所(国)に基づいて IP アドレスから送受信されるトラフィックを許可またはブロックするために使用されます。Multicloud Defense は、更新された Geo IP のリストを維持するために MaxMind GeoIP2 データベースと統合されます。
国名と国コード、または IP アドレスから Geo IP 国コードの完全なリストを確認するには、GeoNames の Web サイトにアクセスしてください。
グループ
グループ アドレス オブジェクトは、送信元または宛先アドレスオブジェクトのセットとして設定されます。グループでは、個々のアドレスオブジェクトを定義してからグループ化することで柔軟性が提供され、グループのメンバーに基づいてトラフィックを照合するために必要なルールの数が簡素化されます。グループは、メンバーが静的、動的、またはこの 2 つの組み合わせのいずれであるかを問わず、グループのメンバーから一連の IP、CIDR、または FQDN を継承します。
送信元または宛先アドレス オブジェクト パラメータ
タイプ |
モード:動的または静的 |
パラメータ |
必須またはオプション |
注記 |
---|---|---|---|---|
IP/CIDR/FQDN |
静的 |
値 |
必須 |
アドレスオブジェクトあたりの FQDN の総数は 200 個に制限され、各 FQDN は最大 400 個の IP に解決できます。Multicloud Defense Gateway は、DNS レコード TTL に関係なく、60 秒ごとに DNS 解決を実行します。 |
VPC/VNet ID |
動的 |
CSP アカウント |
必須 |
|
地域 |
必須 |
|||
リソース グループ |
オプション |
Azure のみ |
||
VPC/VNet ID |
必須 |
|||
セキュリティ グループ(Security Group) |
動的 |
CSP アカウント |
必須 |
|
地域 |
必須 |
|||
VPC/VNet ID |
必須 |
|||
リソース グループ |
オプション |
Azure のみ |
||
セキュリティ グループ ID |
必須 |
|||
アプリケーション セキュリティ グループ |
動的 |
CSP アカウント |
必須 |
Azure のみ |
地域 |
必須 |
|||
リソース グループ |
必須 |
|||
アプリケーション セキュリティ グループ |
必須 |
|||
インスタンス ID |
動的 |
CSP アカウント |
必須 |
|
地域 |
必須 |
|||
VPC/VNet ID |
必須 |
|||
リソース グループ |
オプション |
オプション |
||
インスタンス ID |
必須 |
|||
サブネット ID |
動的 |
CSP アカウント |
必須 |
|
地域 |
必須 |
|||
VPC/VNet ID |
必須 |
|||
リソース グループ |
オプション |
Azure のみ |
||
サブネット ID |
必須 |
|||
ユーザー定義タグ |
動的 |
CSP アカウント |
オプション |
|
地域 |
オプション |
|||
VPC/VNet ID |
オプション |
|||
リソース グループ |
オプション |
Azure のみ |
||
リソース/タグ/値 |
必須 |
リソースとタグのキーと値のペアのリスト。リソースには、インスタンス、VPC/VNet、サブネット、ロードバランサ、セキュリティグループ、セキュリティグループ(Azure)などがあります。 |
||
Geo IP |
値 |
必須 |
||
Group |
Address |
必須 |
リバース プロキシ ターゲット アドレス オブジェクト
リバース プロキシ ターゲット アドレス オブジェクトは、リバース プロキシ サービス オブジェクトのバックエンド ターゲット アドレスとして指定されます。これは、サービスオブジェクトによって、アプリケーションへのバックエンド接続を確立するために使用されます。アプリケーションは、1 つ以上のアプリケーション ロード バランサまたはインスタンスの IP または FQDN 形式のアドレスとすることができます。さまざまなタイプのリバース プロキシ ターゲット アドレス オブジェクトは、次のように定義されます。
静的 IP/FQDN アドレスオブジェクト
IP/FQDN アドレスオブジェクトは、IP アドレスまたは FQDN のセットとして設定されます。複数の IP または FQDN が設定されている場合、ゲートウェイは、バックエンド接続を設定するときに、設定されたフィールドの中で優先順位が設定されていないアドレスを処理します。1 つの FQDN が設定されている場合、ゲートウェイは DNS を使用して FQDN を解決し、バックエンド接続の設定時に使用する IP アドレスを決定します。
ダイナミック アプリケーション アドレス オブジェクト
アプリケーション アドレス オブジェクトは、そのアプリケーションタグによって決定される個々のアプリケーション ロード バランサのクラウドリソースとして設定されます。この設定では、Multicloud Defense リアルタイムインベントリ検出を使用してクラウドアカウントから取得された、クラウドリソースで表される一連の IP または FQDN が動的に入力されます。クラウドリソースへの変更は、アドレスオブジェクトに自動的に反映されます。設定の結果、複数の IP または FQDN が生成された場合、ゲートウェイは、バックエンド接続を設定するときに、優先順位が設定されていないフィールドを処理します。設定の結果、1 つの FQDN が生成された場合、ゲートウェイは DNS を使用して FQDN を解決し、バックエンド接続の設定時に使用する IP アドレスを決定します。
リバース プロキシ ターゲット アドレス オブジェクトのパラメータ
Type |
モード:動的または静的 |
パラメータ |
必須またはオプション |
注記 |
---|---|---|---|---|
IP/FQDN |
[静的(Static)] |
値 |
必須 |
|
アプリケーション |
動的 |
CSP アカウント |
必須 |
|
地域 |
必須 |
|||
VPC/VNet ID |
必須 |
|||
リソース グループ |
オプション |
Azure のみ |
||
タグ/値 |
必須 |
単一タグのキーと値のペア |
システムオブジェクト
Multicloud Defense は、ポリシーの作成を簡素化するために、事前定義されたアドレスオブジェクトのリストを提供します。すべてのシステムオブジェクトは編集または削除できません。変更が必要な場合は、システムオブジェクトの複製を作成できます。
名前 |
説明 |
---|---|
いずれか |
これは、IPv4 アドレス空間全体を表します。 |
any-private-rfc- 1918 |
これは、RFC-1918 で定義されているすべての IPv4 プライベートアドレスを表します。 |
インターネット |
これは、プライベート IPv4 アドレス(RFC1918)を除いた IPv4パブリックアドレス空間全体を表します。 |