出力/East-West ゲートウェイ

パブリック クラウド ネットワークから発信されるトラフィックを保護するために出力/East-West ゲートウェイを展開します。エグレスゲートウェイは、完全な復号を実行し、侵入防御、マルウェア対策、データ損失防止、フルパス URL フィルタリングなどの高度なセキュリティ機能を組み込む透過的な転送プロキシとして機能します。必要に応じて転送モードで動作させることもできます。この場合、トラフィックのプロキシ接続や復号は行われませんが、悪意のある IP ブロッキングや FQDN フィルタリングなどのセキュリティ機能は適用されます。

次の図は、集中型モードのエグレスゲートウェイを持つ AWS アカウントの例を示します。

出力の NAT ゲートウェイ

（注）	現時点で、Multicloud Defense は AWS および Azure の出力展開のみでネイティブゲートウェイをサポートしています。

ネットワークアドレス変換（NAT）ゲートウェイは、クラウド サービス プロバイダー内から発信するように設計されたゲートウェイです。出力トラフィックは、単一の IPアドレス、または可用性ゾーンごとに少なくとも 1 つの IP アドレスから発生します。ゲートウェイを構築し、クラウド環境内からホストすることで、効率を高め、コストを削減できる可能性があります。Multicloud Defense 内の VPC または VNet とクラウド サービス プロバイダーのゲートウェイとの関連付けが失敗した場合、障害対応のために、Multicloud Defense システムログにインスタンスがキャプチャされることに注意してください。

次のサポートされる設定を参照してください。

• Azure は 1 つのサブネットをサポートします。

• NAT ゲートウェイに少なくとも 1 つ のパブリック IP アドレスが設定されている必要があります。

次の図は、集中型モードのエグレスゲートウェイを持つ Azure アカウントの例です。

AWS CloudWAN

現時点で、Multicloud Defense は AWS の CloudWAN をエグレスゲートウェイに含めることをサポートしています。CloudWAN は、データセンター、ブランチ、および AWS ネットワークを統合する、インテント主導型のマネージド ワイドエリアネットワーク（WAN）サービスです。リージョン間で複数のトランジットゲートウェイを相互接続することでグローバルネットワークを作成することは可能ですが、CloudWAN には、コアネットワークポリシーに基づいてグローバルネットワークを構築および運用するために特別に設計された、組み込みの自動化、セグメンテーション、および設定管理機能が用意されています。

このオプションは、自動化された VPC アタッチメント、統合パフォーマンスモニタリング、一元化された設定などの拡張機能を提供し、これらはすべて AWS Network Manager 内で管理されます。これにより、AWS アカウント、リージョン、およびオンプレミスの場所全体で、CloudWAN コアネットワークとトランジット ゲートウェイ ネットワークを一元的に管理および可視化できます。

主な利点：

• 簡素化されたネットワーク管理：AWS CloudWAN は、AWS Network Manager を介した一元化ダッシュボードを提供し、ネットワーク設定、ポリシーの管理、およびトラフィックのモニタリングを行います。これにより、複数の異なるネットワーキング ソリューションの処理に伴う複雑さが大幅に軽減され、ネットワークの統合ビューが実現します。

• 拡張性：ビジネスの成長に合わせてネットワークを簡単に拡張できます。組織のクラウドプレゼンスとグローバルフットプリントの拡大に合わせて、CloudWAN は増大する需要に対応でき、手作業での大掛かりな再設定は必要ありません。

• 最適化されたパフォーマンス：AWS のグローバル インフラストラクチャを活用することで、CloudWAN はさまざまな地理的場所で高いパフォーマンスと低遅延の接続を確保し、アプリケーションのパフォーマンスとユーザー体験を向上させます。

CloudWAN による簡素化：

• 一元化されたポリシー管理：宣言型言語で記述されたコアネットワークポリシーは、セグメント、AWS リージョンのルーティング、およびアタッチメントをセグメントにマッピングする方法を定義します。単一のネットワークポリシーを使用してネットワーク全体のルーティングとセキュリティポリシーを管理できるため、手動設定の必要性が減り、エラーを最小限に抑えることができます。

• 運用の自動化：CloudWAN は、ルート伝達やポリシーの適用など、多くのネットワーク管理タスクを自動化し、IT チームがより戦略的なイニシアチブに集中できるようにします。

• シームレスな統合：他の AWS サービスやサードパーティのソリューションと統合することで、お客様は負担を最小限に抑えながら、まとまりのある包括的なネットワーク インフラストラクチャを構築できます。

• 可視化の強化：AWS Network Manager には、ネットワークリソースをピンポイントで示す世界地図、CloudWatch イベントによるモニタリング、リアルタイムのイベントトラッキング、ネットワークのトポロジ図など、複数のダッシュボードの可視化が用意されています。これにより、グローバルネットワークをあらゆる面から簡単に管理およびモニターできます。

セキュリティサービスの挿入とは、セキュリティサービスをネットワークパスに直接統合するプラクティスを指します。Multicloud Defense でこれを実装する利点は次のとおりです。

• 強化されたセキュリティ態勢：ネットワークにセキュリティサービスを挿入することで、トラフィックをリアルタイムで検査、モニター、およびフィルタリングできるため、重要なリソースに影響が及ぶ前に脅威を検出し、軽減できます。

• 一貫したセキュリティポリシー：セキュリティサービスの挿入により、基盤となるインフラストラクチャや地理的な場所に関係なく、一貫したセキュリティポリシーがネットワーク全体に適用されます。この統一性により、コンプライアンスとガバナンスが簡素化されます。

• 可視性と制御の向上：セキュリティサービスを統合することで、ネットワークトラフィックと潜在的な脅威に対する可視性が向上します。管理者は、高度な分析およびモニタリングツールを活用して、より深いインサイトを取得し、セキュリティリスクをより効果的に管理できます。

• 遅延と複雑性の軽減：個別のセキュリティアプライアンスを介してトラフィックをルーティングする代わりに、ネットワークパスにセキュリティ機能を組み込みます。それにより遅延が最小限に抑えられ、ネットワークの複雑さが軽減され、パフォーマンスの向上とネットワークアーキテクチャの簡素化が実現します。

• 柔軟性と拡張性：Multicloud Defense を使用したセキュリティサービスの挿入により、組織は変化するネットワークの状態や新たな脅威に応じてセキュリティ対策を動的に拡張し、堅牢な保護を常に確保できます。

• 集中型セキュリティ：セキュリティリソースを統合し、管理に伴う負担を軽減してインフラストラクチャのコストを削減します。

• ルーティングの簡素化：複雑なルーティング設定やサードパーティ製の自動化ツールを使用せずに、ネットワークトラフィックをセキュリティアプライアンスに簡単にステアリングできます。

• マルチリージョンのセキュリティ検査：マルチリージョンの展開を簡素化し、複雑な設定なしでリージョン内およびリージョン間のトラフィックがセキュリティ インフラストラクチャを通過できるようにします。

AWS CloudWAN と Multicloud Defense を活用してセキュリティサービスを挿入することで、お客様は、ビジネスの成長と復元力のある運用をサポートする、高性能で安全な、簡単に管理できるネットワーク インフラストラクチャを実現できます。Multicloud Defense を使用すると、ユーザーはセキュリティサービス VPC を作成し、それを既存の CloudWAN にアタッチし、ネットワーク機能グループ（NFG）を作成し、ルーティングを更新してスポークセグメントを保護でき、これらの操作はすべて自動化されます。

AWS CloudWAN でサービス VPC を作成する方法

AWS CloudWAN でサービス VPC を正常に作成するには、次の手順を実行します。

• サービス VPC を作成：必要なゲートウェイを使用して、複数の CNE でサービス VPC を確立します。

• ネットワーク機能グループ（NFG）を作成します。

• サービス VPC を NFG としてアタッチ：アタッチメント ポリシー ルールを使用してサービス VPC をアタッチします。

• ワークロード VPC をアタッチ：アタッチメント ポリシー ルールを使用して、VPC をそれぞれのセグメントにアタッチします。

• ルーティングを更新：ポリシーとワークロード VPC を変更して、ルーティングを更新します。

• コアネットワークポリシーを更新：コアネットワークポリシーに必要な変更を適用して実行します。

AWS CloudWAN でサービス VPC を作成する前に、次の制限事項を考慮してください。

• NAT ゲートウェイは、サービス VPC に必須です。

• デュアルホップとエッジ選択は、現在サポートされていません。

• AWS CloudWAN には、転送用の SNAT 対応トラフィックをサポートしないという制限があるため、SNAT で設定されたポリシールールセットのトラフィックはドロップされます。Multicloud Defense ポリシールールセットで SNAT を無効化にすることを強くお勧めします。

• 別のリージョン（CNE）にサービス VPC を追加するには、次の 2 つのオプションのいずれかを実行します。

  • 新しい NFG アタッチメントのルーティングを更新するには、ポリシーを手動で実行して適用する必要があります。

  • コアネットワークを介したワークロード VPC のルートを使用して、新しいサービス VPC データパスサブネットのルーティングテーブルを手動で更新します。

AWS グローバルアクセラレータ

Multicloud Defense は、Multicloud Defense Gateway インスタンス間でトラフィックをロードバランシングするための入力点として使用する、1 つ以上の AWS グローバルアクセラレータのセットと統合できます。これは、イングレスゲートウェイが展開されたときに Multicloud Defense によって作成および管理される AWS ネットワークロードバランサに似ていますが、アプリケーションとワークロードを保護するためのイングレスゲートウェイの代替的な入力点を提供します。

アクセラレータは、グローバルアクセラレータのリスナー エンドポイント グループを管理して、エンドポイントグループにゲートウェイインスタンスのアクティブなセットがあることを確認します。クライアント IP アドレスは、グローバルアクセラレータを介して Multicloud Defense イングレスゲートウェイに渡される間、保持されます。

Multicloud Defense をグローバルアクセラレータと統合するには、まず AWS 内でグローバルアクセラレータを作成し、目的のリスナーを定義し、空のエンドポイントグループ（または既存の Multicloud Defense イングレス ゲートウェイ インスタンスを含むエンドポイントグループ）を作成する必要があります。AWS リソースが存在するようになったら、Multicloud Defense イングレスゲートウェイをグローバルアクセラレータと統合するように設定します。

その他の設定情報については、Amazon AWS のドキュメントを参照してください。

Azure ロードバランサ

Azure クラウド サービス プロバイダーを使用している場合は、Multicloud Defense Gateway の一部として Azure から独自のロードバランサを使用できるようになりました。Azure ロードバランサは、Multicloud Defense Gateway インスタンスのクラスタを少なくとも 1 つ含むシステム提供のバックエンドプールに、複数のプロキシサーバーからのトラフィックを集めて処理します。このシナリオは、非 HTTP トラフィックを処理する複数のプロキシサーバーのセキュリティポリシーを作成する場合に最適です。

この機能を使用できるようにするには、Azure ロードバランサに従う Multicloud Defense Gateway を作成する必要があります。次の前提条件と制限事項に注意してください。

• Azure ロードバランサがすでに設定されている必要があります。

• カスタムロードバランサ用に Azure でバックエンドプールを作成し、設定することを強くお勧めします。この時点では、バックエンドプールにリソースを含める必要はなく、後で変更できます。

• リソースグループを含む Azure ロードバランサを構成する場合は、Azure リソースグループと Multicloud Defense Gateway のリソースグループを同じリージョンで設定する必要があります。

• リソースグループを含む Azure ロードバランサを構成する場合、ロードバランサのリソースグループと Multicloud Defense Gateway リソースグループが同じである必要はありません。

• Azure ロードバランサの正常性プローブは設定できますが、必須ではありません。

• Multicloud Defense Gateway の仮想ネットワークと Azure ロードバランサの仮想ネットワークは同じである必要があります。

• Multicloud Defense Gateway のデータパスサブネットと Azure ロードバランサのサブネットは同じである必要があります。

• 少なくとも 1 つの可用性ゾーンを持つ VPC にゲートウェイをアタッチする必要があります。

Azure ロードバランサを作成、変更、または完了する方法については、Microsoft Azure のドキュメントを参照してください。

GCP リソース

Multicloud Defense は、2 つのサービス VPC と 4 つのファイアウォールを作成します。正確なリソースの割り当てについては、次を参照してください。

サービス VPC

• 管理

• データパス

ファイアウォール ルール

• 管理（入力）

• 管理（出力）

• データパス（出力）

• データパス（出力）

（注）	サービス VPC CIDR をスポーク VPC と重複させることはできません 。

AWS リソース

Multicloud Defense は、サポートされるユースケース（入力、出力/East-West）に対応するために 3 つのサービス VPC を作成します。次に示すものがこれらの各 VPC で作成され、関連付けられます。

• 可用性ゾーンごとに 4 つのサブネット。

• サブネットごとに 1 つのルートテーブル。

• 2 つのセキュリティグループ：管理とデータパス。

• 1 つのトランジットゲートウェイ。

  （注）	このトランジットゲートウェイはサービス VPC の作成時に作成され、ゲートウェイにアタッチされます。このゲートウェイは、他のサービス VPC で再利用できます。

• トランジットゲートウェイのルートテーブル。

  （注）	ルートテーブルは、作成プロセスの一部としてサービス VPC にアタッチされます。

（注）	AWS ゲートウェイロードバランサ（GWLB）は、GWLB の初期展開後の可用性ゾーンの追加/削除をサポートしていません。可用性ゾーンを変更する必要がある場合は、サービス VPC を再展開する必要があります。詳細については、AWS マニュアルを参照してください。

Azure のリソース

Multicloud Defense は次のリソースを使用して 1 つのサービス VNet を作成しました。

• 1 つの VNet。

• 2 つのネットワーク セキュリティ グループ。

サービス VNet の CIDR 値は、スポーク VNet と重複してはなりません。