Multicloud Defense Gateway の管理

概要

Multicloud Defense Gateway は、Multicloud Defense Gateway インスタンスのクラスタを持つネットワークロードバランサで構成される、ネットワークベースのセキュリティプラットフォームです。これは、トラフィック負荷に応じてスケールアウトおよびスケールインする自動スケーリングおよび自己修復クラスタです。Multicloud Defense Controller とゲートウェイインスタンスは、状態、正常性、テレメトリに関する一定の連続的な情報を交換します。Multicloud Defense Controller は、ゲートウェイインスタンスから受信したテレメトリデータを測定することで、スケールアウト/スケールインを判断します。ゲートウェイは、可用性と復元力に優れたアーキテクチャを実現するために、複数の可用性ゾーンで実行するように設定できます。これにより、クラウド サービス プロバイダーの単一の可用性ゾーンで障害が発生しても、実行中のアプリケーションのセキュリティ態勢が損なわれることがありません。

ゲートウェイおよび対応する VPC または VNet を設定したら、Multicloud Defense Controller の [ゲートウェイの詳細(Gateway Details)] ページを使用して、それらの状態を表示および管理できます。

Multicloud Defense Gatewayは、ハブモードエッジモードの 2 つの方法で展開できます。

ゲートウェイの再試行

Multicloud Defense GatewayMulticloud Defense の自己修復コンポーネントです。いずれかの時点でゲートウェイの展開が失敗するか、問題が発生した場合、ゲートウェイの再試行により、Multicloud Defense はゲートウェイの再展開を自動的に試みます。このアクションは、コントローラからゲートウェイを手動で無効にするか削除するまで、無限に発生します。

再試行アクションは、Terraform で次の 2 つの側面から設定できます。最初に、Multicloud Defense がゲートウェイの展開を再試行する回数を設定できます。再展開の最大試行回数に達すると、Multicloud Defense は再試行を停止します。次に、再試行を行う間隔を設定できます。たとえば、ゲートウェイ再試行を 1 時間ごとに 3 回行うように設定できます。これは、Multicloud Defense が 1 時間ごとにゲートウェイの展開を 3 回再試行し、その後停止することを意味します。このアクションは、ゲートウェイの問題が解決するまで、またはコントローラからゲートウェイを削除するまで繰り返されます。

ゲートウェイでのトンネルインスペクション

Multicloud Defense Gateway は、新しい GRE ヘッダーと外部 IP ヘッダーを追加して元のパケットをカプセル化することで、GRE トンネルインスペクションを自動化します。その後、カプセル化されたパケットは中間ネットワークを介して送信され、カプセル化されたパケットが GRE トンネルの接続先エンドポイントに到達すると、GRE ヘッダーと外部 IP ヘッダーが削除され、元のパケットが表示されます。その後、元のパケットは最終的な接続先に転送されます。

GRE 自体は暗号化を提供しませんが、IPSec(インターネット プロトコル セキュリティ)などの他のプロトコルと組み合わせて、カプセル化されたトラフィックを保護できます。IPSec は、GRE トンネルの機密性、完全性、および認証を提供できます。これはサイト間 VPN トンネル接続に特に有益であり、ルーティングプロトコルと組み合わせて使用することで、冗長性とフェールオーバー機能を提供できます。

サポートされるゲートウェイのユースケース

出力

出力/East-West ゲートウェイ

パブリック クラウド ネットワークから発信されるトラフィックを保護するために出力/East-West ゲートウェイを展開します。エグレスゲートウェイは、完全な復号を実行し、侵入防御、マルウェア対策、データ損失防止、フルパス URL フィルタリングなどの高度なセキュリティ機能を組み込む透過的な転送プロキシとして機能します。必要に応じて転送モードで動作させることもできます。この場合、トラフィックのプロキシ接続や復号は行われませんが、悪意のある IP ブロッキングや FQDN フィルタリングなどのセキュリティ機能は適用されます。

次の図は、集中型モードのエグレスゲートウェイを持つ AWS アカウントの例を示します。

出力の NAT ゲートウェイ

(注)  


現時点で、Multicloud Defense は AWS および Azure の出力展開のみでネイティブゲートウェイをサポートしています。


ネットワークアドレス変換(NAT)ゲートウェイは、クラウド サービス プロバイダー内から発信するように設計されたゲートウェイです。出力トラフィックは、単一の IPアドレス、または可用性ゾーンごとに少なくとも 1 つの IP アドレスから発生します。ゲートウェイを構築し、クラウド環境内からホストすることで、効率を高め、コストを削減できる可能性があります。Multicloud Defense 内の VPC または VNet とクラウド サービス プロバイダーのゲートウェイとの関連付けが失敗した場合、障害対応のために、Multicloud Defense システムログにインスタンスがキャプチャされることに注意してください。

次のサポートされる設定を参照してください。

  • Azure は 1 つのサブネットをサポートします。

  • NAT ゲートウェイに少なくとも 1 つ のパブリック IP アドレスが設定されている必要があります。

次の図は、集中型モードのエグレスゲートウェイを持つ Azure アカウントの例です。

AWS CloudWAN

現時点で、Multicloud Defense は AWS の CloudWAN をエグレスゲートウェイに含めることをサポートしています。CloudWAN は、データセンター、ブランチ、および AWS ネットワークを統合する、インテント主導型のマネージド ワイドエリアネットワーク(WAN)サービスです。リージョン間で複数のトランジットゲートウェイを相互接続することでグローバルネットワークを作成することは可能ですが、CloudWAN には、コアネットワークポリシーに基づいてグローバルネットワークを構築および運用するために特別に設計された、組み込みの自動化、セグメンテーション、および設定管理機能が用意されています。

このオプションは、自動化された VPC アタッチメント、統合パフォーマンスモニタリング、一元化された設定などの拡張機能を提供し、これらはすべて AWS Network Manager 内で管理されます。これにより、AWS アカウント、リージョン、およびオンプレミスの場所全体で、CloudWAN コアネットワークとトランジット ゲートウェイ ネットワークを一元的に管理および可視化できます。

主な利点:

  • 簡素化されたネットワーク管理:AWS CloudWAN は、AWS Network Manager を介した一元化ダッシュボードを提供し、ネットワーク設定、ポリシーの管理、およびトラフィックのモニタリングを行います。これにより、複数の異なるネットワーキング ソリューションの処理に伴う複雑さが大幅に軽減され、ネットワークの統合ビューが実現します。

  • 拡張性:ビジネスの成長に合わせてネットワークを簡単に拡張できます。組織のクラウドプレゼンスとグローバルフットプリントの拡大に合わせて、CloudWAN は増大する需要に対応でき、手作業での大掛かりな再設定は必要ありません。

  • 最適化されたパフォーマンス:AWS のグローバル インフラストラクチャを活用することで、CloudWAN はさまざまな地理的場所で高いパフォーマンスと低遅延の接続を確保し、アプリケーションのパフォーマンスとユーザー体験を向上させます。

CloudWAN による簡素化:

  • 一元化されたポリシー管理:宣言型言語で記述されたコアネットワークポリシーは、セグメント、AWS リージョンのルーティング、およびアタッチメントをセグメントにマッピングする方法を定義します。単一のネットワークポリシーを使用してネットワーク全体のルーティングとセキュリティポリシーを管理できるため、手動設定の必要性が減り、エラーを最小限に抑えることができます。

  • 運用の自動化:CloudWAN は、ルート伝達やポリシーの適用など、多くのネットワーク管理タスクを自動化し、IT チームがより戦略的なイニシアチブに集中できるようにします。

  • シームレスな統合:他の AWS サービスやサードパーティのソリューションと統合することで、お客様は負担を最小限に抑えながら、まとまりのある包括的なネットワーク インフラストラクチャを構築できます。

  • 可視化の強化:AWS Network Manager には、ネットワークリソースをピンポイントで示す世界地図、CloudWatch イベントによるモニタリング、リアルタイムのイベントトラッキング、ネットワークのトポロジ図など、複数のダッシュボードの可視化が用意されています。これにより、グローバルネットワークをあらゆる面から簡単に管理およびモニターできます。

セキュリティサービスの挿入とは、セキュリティサービスをネットワークパスに直接統合するプラクティスを指します。Multicloud Defense でこれを実装する利点は次のとおりです。

  • 強化されたセキュリティ態勢:ネットワークにセキュリティサービスを挿入することで、トラフィックをリアルタイムで検査、モニター、およびフィルタリングできるため、重要なリソースに影響が及ぶ前に脅威を検出し、軽減できます。

  • 一貫したセキュリティポリシー:セキュリティサービスの挿入により、基盤となるインフラストラクチャや地理的な場所に関係なく、一貫したセキュリティポリシーがネットワーク全体に適用されます。この統一性により、コンプライアンスとガバナンスが簡素化されます。

  • 可視性と制御の向上:セキュリティサービスを統合することで、ネットワークトラフィックと潜在的な脅威に対する可視性が向上します。管理者は、高度な分析およびモニタリングツールを活用して、より深いインサイトを取得し、セキュリティリスクをより効果的に管理できます。

  • 遅延と複雑性の軽減:個別のセキュリティアプライアンスを介してトラフィックをルーティングする代わりに、ネットワークパスにセキュリティ機能を組み込みます。それにより遅延が最小限に抑えられ、ネットワークの複雑さが軽減され、パフォーマンスの向上とネットワークアーキテクチャの簡素化が実現します。

  • 柔軟性と拡張性Multicloud Defense を使用したセキュリティサービスの挿入により、組織は変化するネットワークの状態や新たな脅威に応じてセキュリティ対策を動的に拡張し、堅牢な保護を常に確保できます。

  • 集中型セキュリティ:セキュリティリソースを統合し、管理に伴う負担を軽減してインフラストラクチャのコストを削減します。

  • ルーティングの簡素化:複雑なルーティング設定やサードパーティ製の自動化ツールを使用せずに、ネットワークトラフィックをセキュリティアプライアンスに簡単にステアリングできます。

  • マルチリージョンのセキュリティ検査:マルチリージョンの展開を簡素化し、複雑な設定なしでリージョン内およびリージョン間のトラフィックがセキュリティ インフラストラクチャを通過できるようにします。

AWS CloudWAN と Multicloud Defense を活用してセキュリティサービスを挿入することで、お客様は、ビジネスの成長と復元力のある運用をサポートする、高性能で安全な、簡単に管理できるネットワーク インフラストラクチャを実現できます。Multicloud Defense を使用すると、ユーザーはセキュリティサービス VPC を作成し、それを既存の CloudWAN にアタッチし、ネットワーク機能グループ(NFG)を作成し、ルーティングを更新してスポークセグメントを保護でき、これらの操作はすべて自動化されます。

AWS CloudWAN でサービス VPC を作成する方法

AWS CloudWAN でサービス VPC を正常に作成するには、次の手順を実行します。

  • サービス VPC を作成:必要なゲートウェイを使用して、複数の CNE でサービス VPC を確立します。

  • ネットワーク機能グループ(NFG)を作成します。

  • サービス VPC を NFG としてアタッチ:アタッチメント ポリシー ルールを使用してサービス VPC をアタッチします。

  • ワークロード VPC をアタッチ:アタッチメント ポリシー ルールを使用して、VPC をそれぞれのセグメントにアタッチします。

  • ルーティングを更新:ポリシーとワークロード VPC を変更して、ルーティングを更新します。

  • コアネットワークポリシーを更新:コアネットワークポリシーに必要な変更を適用して実行します。

AWS CloudWAN でサービス VPC を作成する前に、次の制限事項を考慮してください。

  • NAT ゲートウェイは、サービス VPC に必須です。

  • デュアルホップとエッジ選択は、現在サポートされていません

  • AWS CloudWAN には、転送用の SNAT 対応トラフィックをサポートしないという制限があるため、SNAT で設定されたポリシールールセットのトラフィックはドロップされます。Multicloud Defense ポリシールールセットで SNAT を無効化にすることを強くお勧めします。

  • 別のリージョン(CNE)にサービス VPC を追加するには、次の 2 つのオプションのいずれかを実行します。

    • 新しい NFG アタッチメントのルーティングを更新するには、ポリシーを手動で実行して適用する必要があります。

    • コアネットワークを介したワークロード VPC のルートを使用して、新しいサービス VPC データパスサブネットのルーティングテーブルを手動で更新します。

入力

イングレスゲートウェイを展開することで、一般公開されたアプリケーションを保護できます。イングレスゲートウェイは、完全な復号を実行し、侵入防御、マルウェア対策、 Web アプリケーション ファイアウォール(WAF)、フルパス URL フィルタリングなどの高度なセキュリティ機能を適用するリバースプロキシとして機能します。

次の図は、集中型モードのイングレスゲートウェイを持つ AWS アカウントの例を示します。

水平方向

出力/East-West ゲートウェイの展開では、パブリッククラウド環境内のサブネットまたは VPC/Vnet 間に East-West L4 セグメンテーションが実装されます。ゲートウェイは、L4 ファイアウォールルールを使用した転送モードで機能し、オプションのロギングが有効化された状態で、設定されたパラメータに基づいてトラフィックを許可または拒否します。

次の図は、集中型モードの East-West ゲートウェイを持つ AWS アカウントの例を示します。

分散型

複数の VPC/VNet でアプリケーションが実行されています。各 VPC/VNet に Multicloud Defense Gateway を展開します。

一元化/ハブ

複数の VPC/VNet でアプリケーションが実行されているとします。一元化されたセキュリティサービス VPC/VNet を介して、すべてのアプリケーションを保護したいと考えています。このモデルは、Multicloud Defense Gateway をサービス VPC に展開します。すべてのアプリケーション VPC(スポーク VPC)とサービス VPC を、Azure および GCP の AWS Transit Gateway または VNet/VPC ピアリングにアタッチします。Multicloud Defense は、AWS Transit Gateway、サービス VPC、およびスポーク VPC のアタッチメントをオーケストレーションするオプションを提供します。これは、展開を容易にし、複数のルートテーブルと Transit Gateway のアタッチメントの複雑さを排除するための推奨ソリューションです。

図 1. AWS:AWS Transit Gateway の使用
図 2. Azure - VNet ピアリング
図 3. GCP:VPC ピアリング

高度なゲートウェイ設定:独自のロードバランサの使用

Multicloud Defense Gateway を作成するときに、AWS または Azure にネイティブなロードバランサを使用できます。AWS と Azure は異なるプラットフォームであるため、「ロードバランサ」に使用する単語は異なりますが、以下で説明する機能はパフォーマンス的には同じです。現在ご利用のクラウド サービス プロバイダーに該当する説明を引き続きお読みください。

独自のロードバランサを使用するように Multicloud Defense Gateway を設定するには、Multicloud Defense Gateway の追加を参照してください。


(注)  


これらの設定はどちらも、イングレスゲートウェイの展開のみをサポートすることに注意してください。


AWS グローバルアクセラレータ

Multicloud Defense は、Multicloud Defense Gateway インスタンス間でトラフィックをロードバランシングするための入力点として使用する、1 つ以上の AWS グローバルアクセラレータのセットと統合できます。これは、イングレスゲートウェイが展開されたときに Multicloud Defense によって作成および管理される AWS ネットワークロードバランサに似ていますが、アプリケーションとワークロードを保護するためのイングレスゲートウェイの代替的な入力点を提供します。

アクセラレータは、グローバルアクセラレータのリスナー エンドポイント グループを管理して、エンドポイントグループにゲートウェイインスタンスのアクティブなセットがあることを確認します。クライアント IP アドレスは、グローバルアクセラレータを介して Multicloud Defense イングレスゲートウェイに渡される間、保持されます。

Multicloud Defense をグローバルアクセラレータと統合するには、まず AWS 内でグローバルアクセラレータを作成し、目的のリスナーを定義し、空のエンドポイントグループ(または既存の Multicloud Defense イングレス ゲートウェイ インスタンスを含むエンドポイントグループ)を作成する必要があります。AWS リソースが存在するようになったら、Multicloud Defense イングレスゲートウェイをグローバルアクセラレータと統合するように設定します。

その他の設定情報については、Amazon AWS のドキュメントを参照してください。

Azure ロードバランサ

Azure クラウド サービス プロバイダーを使用している場合は、Multicloud Defense Gateway の一部として Azure から独自のロードバランサを使用できるようになりました。Azure ロードバランサは、Multicloud Defense Gateway インスタンスのクラスタを少なくとも 1 つ含むシステム提供のバックエンドプールに、複数のプロキシサーバーからのトラフィックを集めて処理します。このシナリオは、非 HTTP トラフィックを処理する複数のプロキシサーバーのセキュリティポリシーを作成する場合に最適です。

この機能を使用できるようにするには、Azure ロードバランサに従う Multicloud Defense Gateway を作成する必要があります。次の前提条件と制限事項に注意してください。

  • Azure ロードバランサがすでに設定されている必要があります

  • カスタムロードバランサ用に Azure でバックエンドプールを作成し、設定することを強くお勧めします。この時点では、バックエンドプールにリソースを含める必要はなく、後で変更できます。

  • リソースグループを含む Azure ロードバランサを構成する場合は、Azure リソースグループと Multicloud Defense Gateway のリソースグループを同じリージョンで設定する必要があります。

  • リソースグループを含む Azure ロードバランサを構成する場合、ロードバランサのリソースグループと Multicloud Defense Gateway リソースグループが同じである必要はありません

  • Azure ロードバランサの正常性プローブは設定できますが、必須ではありません。

  • Multicloud Defense Gateway の仮想ネットワークと Azure ロードバランサの仮想ネットワークは同じである必要があります。

  • Multicloud Defense Gateway のデータパスサブネットと Azure ロードバランサのサブネットは同じである必要があります。

  • 少なくとも 1 つの可用性ゾーンを持つ VPC にゲートウェイをアタッチする必要があります

Azure ロードバランサを作成、変更、または完了する方法については、Microsoft Azure のドキュメントを参照してください。

ゲートウェイの詳細

すでに確立されているゲートウェイの [ゲートウェイの詳細(Gateway Details)] ページを表示するには、[管理(Manage)] > [ゲートウェイ(Gateways)]をクリックします。このページからゲートウェイを追加したり、すべてのゲートウェイを管理したりできます。ゲートウェイの管理では、インスタンスの編集、アップグレード、有効化、無効化、エクスポート、または削除を行うことができます。変更を行う前に、変更するゲートウェイのチェックボックスをクリックする必要があります。


(注)  


これらのアクションを実行するには、管理者またはネットワーク管理者である必要があります

ゲートウェイのリストをフィルタ処理して検索するには、次の項目のいずれかフィルタ条件として使用します。

  • [名前(Name)]:ゲートウェイの名前。

  • [CSPアカウント(CSP Account)]:ゲートウェイに関連付けられているクラウド サービス プロバイダー アカウント。

  • [CSPタイプ(CSP Type)]:クラウド サービス プロバイダー アカウントのタイプ。

  • [リージョン(Region)]:検索するゲートウェイに関連付けられているクラウド サービス プロバイダーのリージョン。

  • [状態(State)]:ゲートウェイの現在の状態。ゲートウェイの状態には、アクティブまたは非アクティブ、アクティブ保留中または非アクティブ保留中があります。

  • [インスタンスタイプ(Instance Type)]:各クラウド サービス プロバイダーは、いくつかのインスタンスタイプをサポートしています。

  • [モード(Mode)]Multicloud Defense Gateway インスタンスはハブまたはエッジモードで展開できます。


[詳細検索への切り替え(Switch to Advanced Search)] をクリックして、独自の検索条件を作成します。必要に応じて、検索バー内のドロップダウンオプションを使用して、自動生成された検索条件の一部を利用します。検索を繰り返す必要がある場合は、検索条件をコピーまたは保存して後で使用することもできます。

Multicloud Defense Gateway と VPC/VNet の設定

サービス VPC または VNet の作成

作成するゲートウェイに応じて、次の手順を実行してサービス VPC またはサービス VNet を作成します。

始める前に

この手順に記載されているオプションは、クラウド サービス プロバイダーに固有のものである可能性があることに注意してください。

  • ネイティブゲートウェイ(NAT ゲートウェイ)を使用して VPC または VNet を設定する場合は、クラウド サービス プロバイダーからネイティブゲートウェイを設定する必要があります。詳細については、クラウド サービス プロバイダーのマニュアルを参照してください。

  • Azure NAT ゲートウェイを使用してサービス VNet を展開する場合は、作成および展開の前に、Azure ダッシュボード内のカスタムロールにすべての権限があることを確認してください。権限の完全なリストについては、「アプリケーションに割り当てるカスタムロールの作成」を参照してください。

  • 独自のトランジットゲートウェイを提供する場合は、複数の VPC または VNet をアタッチできます。ゲートウェイを再展開せずに、既存の VPC または VNet を新しいものに置き換えることもできます。

サービス VPC の一部として AWS CloudWAN を実装する場合は、この手順の前に以下が設定されていることを確認してください。

  • グローバルネットワーク

  • コア ネットワーク

  • コアネットワークエッジ(CNE)リージョン

  • セグメント

  • ワークロード VPC

  • (任意)ネットワーク機能グループ(NFG)。Multicloud Defense Controller を使用すると、この手順の一部として新しく作成できます。

手順


ステップ 1

Multicloud Defense Controller から、[管理(Manage)] > [サービスVPC/VNet(Service VPCs/VNets)]に移動します。

ステップ 2

[サービスVPC/VNetの作成(Create Service VPC/VNet)] をクリックします。

ステップ 3

入力パラメータ値:

  • [名前(Name)] :サービス VPC/VNet の名前を指定します。

  • [CSPアカウント(CSP Account)]:サービス VPC/VNet を作成する CSP アカウントを選択します。

  • [リージョン(Region)]:サービス VPC を展開するリージョンを選択します。

  • (Azure のみ)[CIDRブロック(CIDR Block)]:サービス VNet の CIDR ブロック。これは、スポーク(アプリケーション)VNet と重複してはなりません。

  • (AWS/GCP のみ)[データパスCIDRブロック(Datapath CIDR Block)]Multicloud Defense Gateway データパスサービス VPC の CIDR ブロック。この CIDR ブロックは、スポーク(アプリケーション)VPC のアドレス範囲と重複してはなりません。

  • (AWS/GCP のみ)[管理CIDRブロック(Management CIDR Block)]Multicloud Defense Gateway 管理サービス VPC の CIDR ブロック。この CIDR ブロックは、スポーク(アプリケーション)VPC のアドレス範囲と重複してはなりません。

  • [可用性ゾーン(Availability Zones)]:VPC を作成する場合は、1 つの可用性ゾーンのみを設定する必要があります。VNet の場合、Multicloud Defense では、レジリエンシのために少なくとも 2 つの可用性ゾーンを選択することを推奨しています。

    (注)  

     

    この VPC に AWS または Azure NAT ゲートウェイをアタッチする場合は、少なくとも 1 つの可用性ゾーンを設定する必要があります。エッジまたは集中型モードで展開する場合は、AWS サービス VPC に可用性ゾーンを追加したら、ゾーンを追加または削除するために編集することはできません。

  • (AWS CloudWAN のみ)[ネットワークタイプ(Network Type)]:[CloudWAN] を選択します。

  • (AWS CloudWAN のみ)[ネットワークID(Network ID)]:ドロップダウンメニューを展開して、AWS アカウントのグローバルネットワークに関連付けられているコアネットワークを選択します。

  • (AWS CloudWAN のみ)[ネットワーク機能グループ(Network Function Group)]:ドロップダウンメニューを使用して、既存のネットワーク機能グループを選択します。この選択により、サービス VPC がコアネットワークのネットワーク機能グループにアタッチされます。または、[新規作成(Create New)] を選択して、この VPC の新しいグループを作成します。新しいネットワーク機能グループを作成する場合は、この [サービスVPC(Service VPC)] ウィンドウで、ネットワーク機能グループの新しい名前を入力するように求められます。

  • (Azure のみ)[リソースグループ(Resource Group)]:サービス VNet を展開するリソースグループ。

  • (AWS のみ)[トランジットゲートウェイ(Transit Gateway)]:トランジットゲートウェイは、中央ハブを介して仮想プライベートクラウドとオンプレミスネットワークを接続します。ドロップダウンメニューを使用して、この VPC の既存のゲートウェイを選択します。選択できる既存のゲートウェイがない場合は、[新規作成(Create_new)] を選択します。このオプションを使用すると、Multicloud Defense は VPC 作成プロセスの一部としてゲートウェイを作成できます。

  • (AWS のみ)[トランジットゲートウェイ名(Transit Gateway Name)]:新しいトランジットゲートウェイを作成することを選択した場合は、このフィールドにゲートウェイの名前を入力します。

  • (AWS のみ)[共有アタッチメントの自動受け入れ(Auto accept shared attachments)]:新しいトランジットゲートウェイを作成し、この VPC をマルチアカウント ハブ ゲートウェイの展開に使用することを選択した場合は、このオプションをオンにします。

  • (AWS および Azure のみ)[NATゲートウェイを使用(Use NAT Gateway)]:すべての出力トラフィックが NAT ゲートウェイを通過するようにする場合は、このオプションを有効にします。Azure アカウントに NAT ゲートウェイを使用している場合は、このサービス VNet の作成を完了する前に、Azure ダッシュボード内のカスタムロールにすべての権限があることを確認してください。権限の完全なリストについては、「アプリケーションに割り当てるカスタムロールの作成」を参照してください。

    注意    

     

    このサービス VPC を展開して AWS または Azure 環境に Multicloud Defense VPN ゲートウェイを展開する場合は、この NAT ゲートウェイオプションを有効にしないでください。

ステップ 4

[保存(Save)] をクリックします。


次のタスク

AWS または GCP アカウントのサービス VPC を作成したばかりの場合は、まず「サービス VPC/VNet の管理」を実行してから、「ゲートウェイの追加」を実行し、VPC または VNet をゲートウェイに関連付ける必要があります。

Azure のサービス VNet を作成した場合は、「ゲートウェイの追加」を実行することを強くお勧めします。

スポーク VPC または VNet の保護

スポーク VPC を保護することで、セキュリティの脅威に対応できる、より堅牢で復元力のあるネットワークを作成できます。スポーク VPC の保護により、サービス VPC とスポーク VPC の間で送信される可能性のある機密データを保護できます。これは、全体的な攻撃対象領域を縮小し、スポーク VPC での適切なセキュリティ対策が、潜在的なセキュリティインシデントの拡散を制限するための重要な戦略であるネットワーク セグメンテーションをサポートすることに役立ちます。

ゲートウェイを作成または追加する前に、AWS および GCP アカウントのスポーク VPC を保護することを強くお勧めします。

スポーク VPC がネットワークと対話する方法の例を次に示します。

図 4. Azure 複合ハブ:マルチサブスクリプション

前提条件と制限事項

スポーク VPC または VNet を保護する前に、以下が完了していることを確認してください。

AWS

  • AWS は、エッジモードまたは集中モードで展開された環境向けにサービス VPC が作成された後の、可用性ゾーンの追加または削除をサポートしていません。サービス VPC の作成後に可用性ゾーンを変更する必要がある場合は、正しいゾーンを含めた新しい VPC を作成する必要があります。

  • CloudWAN を使用する AWS アカウントでは、スポーク VPC の保護またはゲートウェイの追加の前に、AWS Network Manager を使用して次のように設定する必要があります。

    • すでにオンボーディングされている AWS アカウントの場合は、AWS ダッシュボードの権限リストを手動で変更して、MCDControllerRole IAM ポリシーに networkmanager:* を含めます。詳細については、AWS の「Adding and removing IAM Identity permission」のドキュメントを参照してください。

    • 出力/East-West ゲートウェイをサービス VPC にアタッチする必要があります。

    • 少なくとも 1 つのグローバルネットワークが設定されている必要があります。

    • 少なくとも 1 つのコアネットワークがすでに作成されている必要があります。すでにセグメントが含まれている必要はありません。

Azure

  • VNet ペアリングは、同じ CSP タイプ内のアカウント間でサポートされます。アカウント内およびアカウント間でスポーク VPC/VNet を追加できます。Azure では、サブスクリプション間でピアリングするスポーク VPC の場合、同じアプリケーション登録を使用して CSP アカウントをオンボードする必要があり、サブスクリプションは同じ Active Directory 内にある必要があります。

  • Azure 環境では、スポーク VPC/VNet を保護するに、ルートテーブルをアタッチする必要があります。詳細については、Azure ユーザーガイドの「Associate a route table to a subnet」の章を参照してください。

  • Azure は、エッジモードまたは集中モードで展開された環境向けにサービス VPC が作成された後の、可用性ゾーンの追加または削除をサポートしていません。サービス VPC の作成後に可用性ゾーンを変更する必要がある場合は、正しいゾーンを含めた新しい VPC を作成する必要があります。

GCP

  • GCP は、エッジモードまたは集中モードで展開された環境向けにサービス VPC が作成された後の、可用性ゾーンの追加または削除をサポートしていません。これは、エッジモードで展開された環境の Azure 、GCP、および OCI にも適用されます。サービス VPC の作成後に可用性ゾーンを変更する必要がある場合は、正しいゾーンを含めた新しい VPC を作成する必要があります。

OCI

  • OCI は、エッジモードまたは集中モードで展開された環境向けにサービス VPC が作成された後の、可用性ゾーンの追加または削除をサポートしていません。サービス VPC の作成後に可用性ゾーンを変更する必要がある場合は、正しいゾーンを含めた新しい VPC を作成する必要があります。

サービス VPC/VNet の管理

スポーク VPC またはスポーク VNet を管理するには、次の手順を実行します。

始める前に

AWS CloudWAN を使用するように設定された AWS サービス VPC を保護する場合、このページに示す表には、エッジリージョンごとに個別の行があります。セグメントを追加/削除することで、サービス VPC を使用してセグメントを保護できます。各セグメントは、セグメントにアタッチまたはアタッチを解除できる VPC のリストを使用して編集できます。セグメントを通過するトラフィックは、VPC で設定されたネットワーク機能グループによって保護されます。このテーブルに表示されるセグメントから転送されたものはすべて、VPC で設定されたネットワーク機能グループを通過します。

手順

ステップ 1

Multicloud Defense Controller ダッシュボードから、[管理(Manage)] > [サービスVPC/VNet(Service VPCs/VNets)]に移動します。

ステップ 2

サービス VPC またはサービス VNet を選択し、[アクション(Actions)] をクリックします。

ステップ 3

[スポークVPC/VNetの管理(Manage Spoke VPC/VNet)] をクリックします。

ステップ 4

テーブルに表示されている VPC または VNet にアタッチされているリージョンにセグメントを追加するには、[追加(Add)] をクリックします。

ステップ 5

ドロップダウンメニューを使用して、使用可能なネットワークセグメントを選択します。このアクションにより、既存のネットワークセグメントがサービス VPC またはサービス VPC 内のネットワーク機能グループに割り当てられます。Multicloud Defense はネットワークセグメントを作成しないことに注意してください。AWS アカウントのコアネットワークの一部として、ネットワークセグメントを作成する必要があります。

ステップ 6

ネットワークセグメントを削除するには、セグメントを選択し、[削除(Remove)] をクリックします。

ステップ 7

[+ VPCの追加(+ Add VPC)] をクリックして VPC を追加し、ユーザーVPC をネットワークセグメントに関連付けます。

  1. [VPCをセグメントに追加(Add VPC to Segment)] ウィンドウで、ウィンドウの左側にあるすべてのスポーク VPC または VNet を選択し、[>] をクリックしてセグメントに割り当てます。または、既存の VPC または VNet を選択し、[<] をクリックしてセグメントから削除します。

  2. [保存(Save)] をクリックして、VPC の変更を確定します。

ステップ 8

[保存(Save)] をクリックして、ネットワークセグメントの変更を確定します。これらの変更が有効になり、影響を受ける VPC または VNet が「アクティブ」になるまでに最大 30 分かかる場合があることに注意してください。


スポーク VPC または VNet のエクスポート

スポーク VPC または VNet の設定をエクスポートするには、次の手順を実行します。

手順

ステップ 1

Multicloud Defense Controller ダッシュボードから、[管理(Manage)] > [サービスVPC/VNet(Service VPCs/VNets)]に移動します。

ステップ 2

テーブルからサービス VPC またはサービス VNet を選択し、[アクション(Actions)] をクリックします。

ステップ 3

[エクスポート(Export)] をクリックします。

ステップ 4

Multicloud Defense でエクスポートウィザードが生成されます。

ステップ 5

[ダウンロード(Download)] をクリックして Terraform をローカルにダウンロードするか、下にスクロールして [コードのコピー(Copy Code)] をクリックして JSON リソースをコピーします。

ステップ 6

Terraform スクリプトに手動で貼り付けます。

ステップ 7

Terraform プロンプト内で、ウィンドウの下半分に表示されるコマンドを実行します。

ステップ 8

Terraform プロンプト内のプロンプトに従って、タスクを完了します。エクスポートウィンドウを閉じます。


スポーク VPC または Vnet の削除

アカウント設定からスポーク VPC または VNet を削除するには、次の手順を実行します。クラウド サービス プロバイダーのダッシュボードで削除を確認する必要がある場合がありますので、注意してください。

手順

ステップ 1

Multicloud Defense Controller ダッシュボードから、[管理(Manage)] > [サービスVPC/VNet(Service VPCs/VNets)]に移動します。

ステップ 2

テーブルからサービス VPC またはサービス VNet を選択し、[アクション(Actions)] をクリックします。

ステップ 3

[削除(Delete)] をクリックします。

ステップ 4

サービス VPC または VNet の削除を確認し、[はい(Yes)] をクリックします。


はじめる前に

サポートされるクラウド サービス プロバイダーは、独自の用語とゲートウェイ環境を使用する個別のエンティティです。Multicloud Defense Controller で使用可能なすべてのオプションが、お使いのクラウド サービス プロバイダーに対応しているわけではありません。たとえば、AWS は独自のトランジットゲートウェイを使用しており、そこに VPC を追加できますが、Azure はロードバランサを使用して Webトラフィックとアプリケーションを管理しており、そこに追加できるのは VNet です。続行する際は、この点に注意してください。


(注)  


AWS 環境の場合、集中型モードでスポーク VPC を保護する場合、Multicloud Defense はサービス VPC に関連付けられているトランジットゲートウェイに VPC をアタッチします。デフォルトで、Multicloud Defense は、トランジットゲートウェイへのアタッチ用に各可用性ゾーンのサブネットをランダムに選択します。VPC を追加するときにこのオプションを変更したり、すでにゲートウェイに割り当てられている VPC を変更したりできます。


また、Multicloud Defense Gateway を介してトランジットゲートウェイをオーケストレーションしたり、既存のトランジットゲートウェイをアタッチすることもできます。

制限事項

Multicloud Defense Gateway の作成時には、次の制限事項に注意してください。

  • IPSec プロファイルを含むサイト間 VPNトンネルを使用する Multicloud Defense Gateway を展開する場合は、サービス VPC またはサービス VNet を使用し、VPN 接続の両側でネットワークアドレス変換(NAT)ゲートウェイを使用せずにゲートウェイを展開する必要があります。

  • 自動スケーリングは、IPSec プロファイルを含むゲートウェイではサポートされていません。

  • ゲートウェイ内のポリシールールは転送のみである必要があります

  • AWS または Azure アカウントの Multicloud Defense Gateway に IPSec プロファイルを含める場合は、ゲートウェイインスタンスを core 8 で設定する 必要がありますMulticloud Defense Gateway は現在、core 2 または core 4 オプションのゲートウェイをサポートしていません。

Multicloud Defense が作成するリソース

次のリソースは、ゲートウェイ、VPC、または VNet を作成するときに Multicloud Defense によって作成されます。これらはプロセスの一部として作成され、ユーザーによる追加のアクションは必要ありません。クラウド サービス プロバイダーの要件ごとに異なるリソースが作成されることに注意してください。

GCP リソース

Multicloud Defense は、2 つのサービス VPC と 4 つのファイアウォールを作成します。正確なリソースの割り当てについては、次を参照してください。

サービス VPC

  • 管理

  • データパス

ファイアウォール ルール

  • 管理(入力)

  • 管理(出力)

  • データパス(出力)

  • データパス(出力)


(注)  


サービス VPC CIDR をスポーク VPC と重複させることはできません


AWS リソース

Multicloud Defense は、サポートされるユースケース(入力、出力/East-West)に対応するために 3 つのサービス VPC を作成します。次に示すものがこれらの各 VPC で作成され、関連付けられます。

  • 可用性ゾーンごとに 4 つのサブネット。

  • サブネットごとに 1 つのルートテーブル。

  • 2 つのセキュリティグループ:管理とデータパス。

  • 1 つのトランジットゲートウェイ。


    (注)  


    このトランジットゲートウェイはサービス VPC の作成時に作成され、ゲートウェイにアタッチされます。このゲートウェイは、他のサービス VPC で再利用できます。


  • トランジットゲートウェイのルートテーブル。


    (注)  


    ルートテーブルは、作成プロセスの一部としてサービス VPC にアタッチされます。



(注)  


AWS ゲートウェイロードバランサ(GWLB)は、GWLB の初期展開後の可用性ゾーンの追加/削除をサポートしていません。可用性ゾーンを変更する必要がある場合は、サービス VPC を再展開する必要があります。詳細については、AWS マニュアルを参照してください。


Azure のリソース

Multicloud Defense は次のリソースを使用して 1 つのサービス VNet を作成しました。

  • 1 つの VNet。

  • 2 つのネットワーク セキュリティ グループ。

サービス VNet の CIDR 値は、スポーク VNet と重複してはなりません。

Multicloud Defense Gateway の追加

クラウド サービス プロバイダーの Multicloud Defense Gateway を追加するには、次の手順を実行します。

始める前に

AWS グローバルアクセラレータまたは Azure ロードバランサの使用を計画している場合は、Multicloud Defense Gateway に追加する前にロードバランサがすでに設定されていることを確認してください。詳細については、高度なゲートウェイ設定:独自のロードバランサの使用を参照してください。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

[ゲートウェイの追加(Add Gateway)] をクリックします。

ステップ 3

ゲートウェイを追加するクラウド サービス プロバイダーを選択します。

ステップ 4

[Next] をクリックします。

ステップ 5

次の情報を入力します。

  • [インスタンスタイプ(Instance Type)]:クラウド サービス プロバイダーのタイプを選択します。使用しているクラウド サービス プロバイダーに応じて、インスタンスに複数のバリエーションが存在する場合があることに注意してください。

  • [ゲートウェイタイプ(Gateway Type)]:[イングレス(Ingress)] または [エグレス(Egress)] を選択します。

    (注)  

     

    East-West ネットフローがある場合は、[エグレス(Egress)] を選択します。

  • [インスタンスの最小数(Minimum Instances)] :展開するインスタンスの最小数を選択します。

  • [インスタンスの最大数(Minimum Instances)] :展開するインスタンスの最大数を選択します。これは、各可用性ゾーンで自動スケーリングに使用される最大数です。

  • [ヘルスチェックポート(HealthCheck Port)]:デフォルトは 65534 です。Multicloud Defense ロードバランサがインスタンスの正常性をチェックするために使用するポート番号です。インスタンスに割り当てられたデータパス セキュリティ グループは、このポートのトラフィックを許可する必要があります。

  • (任意)[パケットキャプチャプロファイル(Packet Capture Profile)]:脅威およびフロー PCAP のパケット キャプチャ プロファイル。

  • (任意)[診断プロファイル(Diagnostics Profile)]:テクニカルサポート情報を保存するために使用される診断プロファイル。

  • (任意)[ログプロファイル(Log Profile)]:イベント/ログを SIEM に転送するために使用されるログ転送プロファイル。

  • (任意)[NTPプロファイル(NTP Profile)]:時刻同期用の Network Time Protocol(NTP)。

  • (任意)[BGPプロファイル(BGP profile)]:VPN 接続をサポートするために使用されるボーダー ゲートウェイ プロトコル(BGP)。Multicloud Defense Gateway を使用するサイト間 VPN トンネルを使用する場合は、このプロファイルを含める必要があります

ステップ 6

[Next] をクリックします。

ステップ 7

次のパラメータを指定します。

  • [セキュリティ(Security)]:[エグレス(Egress)] または [イングレス(Ingress)] を選択します。

    (注)  

     

    East-West ネットフローがある場合は、[エグレス(Egress)] を選択します。

  • [ゲートウェイイメージ(Gateway Image)]:展開するイメージ。

  • [ポリシールールセット(Policy Ruleset)]:このゲートウェイに関連付けるポリシールールセットを選択します。

  • [リージョン(Region)]:このゲートウェイを展開するリージョンを選択します。

  • [リソースグループ(Resource Groups)]:ゲートウェイを関連付けるリソースグループを選択します。

  • [SSH公開キー(SSH Public Key)]:SSH 公開キーを貼り付けます。この公開キーは、展開されたゲートウェイインスタンスの CLI にアクセスしてデバッグおよびモニタリングを行うために、コントローラによって使用されます。

  • [VNet ID]:ゲートウェイに関連付ける VNet を選択します。

  • (Azure のみ)[ユーザー割り当てアイデンティティID(User Assigned Identity ID)]:このゲートウェイに関連付けるクラウド サービス プロバイダーのアイデンティティを入力します。ユーザー割り当てマネージド ID は、リソースのクレデンシャルの代わりに使用できます。ユーザー割り当てマネージド ID は、Azure Key Vault に保存されている秘密キーなど、Azure サービス向けのリソースのログイン情報の代わりに使用したり、Azure Blob Storage に PCAP ファイルを書き込んだりするために使用することができます。

  • [管理セキュリティグループ(Mgmt. Security Group)]:管理インターフェイスに関連付けるセキュリティグループを選択します。

  • [データパスセキュリティグループ(Datapath Security Group)]:データパスインターフェイスに関連付けるセキュリティグループを選択します。

  • [ディスク暗号化(Disk Encryption)]:ドロップダウンメニューから適切なオプションを選択します。カスタマーマネージド暗号化キーの場合、ユーザーは暗号化キーのリソース ID を入力する必要があります。

ステップ 8

[可用性ゾーン(Availability Zone)]、[管理サブネット(Mgmt Subnet)]、および [データパスサブネット(DatapathSubnet)] を選択します。使用可能なサブネットは、上記で選択した VPC または VNet に基づきます。高可用性を実現するために、ゲートウェイインスタンスを複数の可用性ゾーンに展開できます。プラスボタンをクリックして新しい可用性ゾーンを追加し、選択したゾーンのパラメータを選択します。一部のクラウド サービス プロバイダーのリージョンは、複数の可用性ゾーンをサポートしていないことに注意してください。このようなリージョンでは、ゲートウェイインスタンスは単一のゾーンにのみ展開されます。

(注)  

 

ゲートウェイがハブモードで展開されている場合、最初の展開後に可用性ゾーンを編集することはできません。展開する前にゾーンを再確認してください。

ステップ 9

(Azure のみ、任意)アプリケーションと同じ VNet で Multicloud Defense Gateway を使用して分散モデルで展開する場合は、次の手順を実行してください。

  • Azure ポータルでルートテーブルを追加し、そのルートテーブルをすべてのサブネットに関連付けます。

  • next-hop をゲートウェイ ネットワーク ロード バランサの IP アドレスとして、0.0.0.0/0 のデフォルトルートを追加します。

ステップ 10

[次へ(Next)] をクリックして、[詳細設定(Advanced Settings)] を表示します。

ステップ 11

デフォルトで、Multicloud Defense Gateway は使用可能なルータのパブリック IP の使用を有効にします。有効にしない場合は、[パブリックIPを無効化(Disable Public IP)] チェックボックスをオンにします。

ステップ 12

(AWS および Azure のみ)ロードバランサをアタッチします。[ロードバランサの追加(Add Load Balancer)] をクリックして、カスタムロードバランサの行を作成します。または、不要な行を確認し、[削除(Remove)] をクリックしてゲートウェイから削除します。

  1. [ロードバランサ(Load Balancer)] ドロップダウンを展開して、AWS または Azure クラウド サービス プロバイダーからロードバランサを選択します。

  2. [バックエンドプール(Backend Pool)] ドロップダウンを展開して、ゲートウェイに関連付けるバックエンドプールを選択します。

ステップ 13

[保存(Save)] をクリックします。


次のタスク

Multicloud Defense がゲートウェイを展開します。

スポーク VPC/VNet を保護する前に、少なくとも 1 つのルールセットをゲートウェイにアタッチする必要があります。詳細については、ルールセットとルールセットグループを参照してください。

ゲートウェイの管理

Multicloud Defense Gateway と統計情報を[管理(Manage)] > [ゲートウェイ(Gateways)]で表示します。このページから、ゲートウェイの検索とフィルタリングを実行したり、各ゲートウェイに関連付けられているクラウド サービス プロバイダー、現在のインスタンスの数とタイプなどを表示したりできます。

特定のゲートウェイ環境でサポートされるユースケースの詳細については、サポートされるゲートウェイのユースケースを参照してください。

Multicloud Defense Gateway の編集

ゲートウェイは、有効か無効かにかかわらず、どの状態でも編集できます。既存の Multicloud Defense Gateway を編集するには、次の手順を実行します。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

編集する Multicloud Defense Gateway をテーブルで選択し、強調表示します。

ステップ 3

[アクション(Actions)] ドロップダウンメニューを展開し、[編集(Edit)] をクリックします。

ステップ 4

必要に応じてゲートウェイ設定を変更します。

ステップ 5

[保存(Save)] をクリックして、変更を確定します。または、[キャンセル(Cancel)] をクリックして変更を終了します。


Multicloud Defense Gatewayのアップグレード

Multicloud Defense Gateway は、自動スケーリングで自己修復を行うサービスとしてのプラットフォーム(PaaS)として機能し、インライン ネットワーク ベースのセキュリティ施行ノードとして機能します。従来のファイアウォールとは異なり、Multicloud Defense では、仮想ファイアウォールの構築、高可用性セットアップの設定、またはソフトウェアインストールの管理を行う必要がありません。

Multicloud Defense Gateway インスタンスは高度に最適化されたソフトウェア上で動作し、効率的なトラフィック処理と高度なセキュリティの適用のための単一パスのデータパスパイプラインを組み込んでいます。各ゲートウェイインスタンスは、ポリシーの適用を担当する「ワーカー」プロセス、トラフィック分散とセッション管理を行う「ディストリビュータ」プロセス、コントローラと通信する「エージェント」プロセスの 3 つのコアプロセスで構成されます。ゲートウェイインスタンスは、「データパスの再起動」のために「サービス中」にシームレスに移行できるため、トラフィックフローを中断することなくスムーズなアップグレードが可能になります。

新しいインスタンスは、新しいイメージでスピンアップされます。インスタンスが完全に起動すると、ロードバランサ(ゲートウェイインスタンスへのフローのレイヤ 4 スプレイヤ)のターゲットプールに配置されます。古いインスタンスは、それらを通過する既存のフローに対してフロードレインモードまたはフロータイムアウトモードになります。新しいフローは新しいインスタンスにヒットします。タイムアウト(Azure)またはフローがドレイン(AWS)されると、古いインスタンスはコントローラによって取得されます。

次の作業を実行するには、次の手順を使用します。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

アップグレードするゲートウェイのチェックボックスをオンにします。この時点で選択できるのは 1 つのみです。

ステップ 3

[アクション(Actions)] > [アップグレード(Upgrade)]の順に選択します。

ステップ 4

[ゲートウェイイメージ(Gateway Image)] リストから、対象のイメージを選択します。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

クラウド サービス プロバイダーに、アップグレードに必要なリソースが割り当てられていることを確認します。

ステップ 7

リソースの割り当てが十分な場合は、[はい(Yes)] をクリックします。リソースの割り当てが不十分な場合は [いいえ(No)] をクリックし、クラウド サービス プロバイダーのリソースの割り当てを増やしてから、戻ってアップグレードを続行します。

(注)  

 

アップグレードの進行状況と、ゲートウェイのインスタンス情報から作成されている新しいゲートウェイインスタンスを表示できます。ゲートウェイを選択し、[詳細(Details)] ペインで [インスタンス(Instances)] を表示します。


Multicloud Defense Gateway の中止

現在進行中のゲートウェイの更新を実行している Multicloud Defense Gateway のみを中止できます。

既存の Multicloud Defense Gatewayを中止するには、次の手順を実行します。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

中止する Multicloud Defense Gateway をテーブルで選択し、強調表示します。

ステップ 3

[アクション(Actions)] ドロップダウンメニューを展開し、[中止(Abort)] をクリックします。

ステップ 4

[はい(Yes)] をクリックして、ゲートウェイを中止することを確認します。アクションを取り消すには、[いいえ(No)] をクリックします。


Multicloud Defense Gateway の有効化

無効になっているゲートウェイのみを有効にできます。を有効にするには、次の手順を実行します。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

有効にする Multicloud Defense Gateway をテーブルで選択し、強調表示します。

ステップ 3

[アクション(Actions)] ドロップダウンメニューを展開し、[有効化(Enable)] をクリックします。

ステップ 4

Multicloud Defense はゲートウェイの設定を検証します。検証に成功すると、現在のリソースとアップグレードに必要なリソースのテーブルが確認用に生成されます。ゲートウェイリソースの割り当てを承認する場合は、[はい(Yes)] をクリックしてアクションを確認します。


次のタスク

Multicloud Defense Gateway が正常に有効化されるまで数分待ちます。

Multicloud Defense Gateway を無効にし、それに関連付けられているサイト間 VPN トンネルを削除した場合は、新しいサイト間 VPNトンネル接続を作成するか、以前の VPNトンネル接続を再作成してゲートウェイに追加する必要があります。ゲートウェイを無効にすると、Multicloud Defense は VPN トンネルに関連付けられたパブリック IP アドレスを削除します。ゲートウェイインスタンスの新しい IP を確立するには、新しいトンネル接続を作成する必要があります。

Multicloud Defense Gateway の無効化

Multicloud Defense Gateway は、現在有効な場合にのみ無効化できます。すでに無効になっているゲートウェイを無効化することはできません。

Multicloud Defense Gateway を無効にするには、次の手順を実行します。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

無効にする Multicloud Defense Gateway をテーブルで選択し、強調表示します。

ステップ 3

[アクション(Actions)] ドロップダウンメニューを展開し、[無効化(Disable)] をクリックします。

ステップ 4

[はい(Yes)] をクリックして、ゲートウェイを無効化することを確認します。このアクションを取り消すには、[いいえ(No)] をクリックします。


次のタスク

ゲートウェイが正常に無効化されるまで数分待ちます。

ゲートウェイを完全に無効化するには、ゲートウェイに関連付けられているサイト間 VPN トンネルを削除する必要があります

Multicloud Defense Gateway のエクスポート

Multicloud Defense Gateway の設定をエクスポートするには、次の手順を実行します。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

エクスポートする Multicloud Defense Gateway をテーブルで選択し、強調表示します。

ステップ 3

[アクション(Actions)] ドロップダウンメニューを展開し、[エクスポート(Export)] をクリックします。

ステップ 4

Multicloud Defense でエクスポートウィザードが生成されます。

ステップ 5

[ダウンロード(Download)] をクリックして Terraform をローカルにダウンロードするか、下にスクロールして [コードのコピー(Copy Code)] をクリックして JSON リソースをコピーします。

ステップ 6

Terraform スクリプトに手動で貼り付けます。

ステップ 7

Terraform プロンプト内で、ウィンドウの下半分に表示されるコマンドを実行します:terraform import "ciscomcd_gateway"."object-name" <object name>

ステップ 8

Terraform プロンプト内のプロンプトに従って、タスクを完了します。[閉じる(Close)] をクリックして Multicloud Defense のエクスポートウィンドウを閉じます。ダッシュボードではこれ以上の手順はありません。


削除します。Multicloud Defense Gateway

Multicloud Defense Gateway を削除するには、次の手順を実行します。このアクションは、ゲートウェイの無効化とは異なることに注意してください。

手順


ステップ 1

[管理(Manage)] > [ゲートウェイ(Gateways)]に移動します。

ステップ 2

削除する Multicloud Defense Gateway をテーブルで選択し、強調表示します。

ステップ 3

[アクション(Actions)] ドロップダウンメニューを展開し、[削除(Delete)] をクリックします。

ステップ 4

アクションを確認し、[Yes] をクリックします。削除アクションを取り消すには、[キャンセル(Cancel)] をクリックします。


次のタスク

このゲートウェイがゲートウェイテーブルから正常に削除された後で、このゲートウェイに関連付けられていたサイト間 VPN トンネル接続を削除することを強くお勧めします。