• 検索結果がありません。

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

N/A
N/A
Protected

Academic year: 2021

シェア "Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin"

Copied!
139
0
0

読み込み中.... (全文を見る)

全文

(1)
(2)

チェック・ポイントの

Software Blade

Amazon Public Cloud

上で展開可能となりました

Amazon

パブリック・クラウド用

仮想アプライアンス

Public Cloud

Amazon Web Services

向け

(3)

Amazon VPC

トポロジーと構成要素

Internet

2

3

インターネット接続

(直結または

VPN

Check Point VPC

仮想アプライアンス

Amazon

VPC

アマゾン

VPC

インターネットゲートウェイ

4

4

3

2

(4)

クラウドのためのフルレンジ防御

貴社のセキュリティ要件に応じた

Software Blade

をご選択ください

(5)

クラウド上でのネットワーク攻撃から防御

攻撃パターンの

SQL

インジェクション

攻撃

Firewall & IPS Software Blades

チェック・ポイント

バーチャル・アプライアンス

お客様向けサーバ

Firewall

IPS

Software Blades

すべての

DB

の内容を

閲覧しよう・・・

(6)

Amazon Web Services

上で

チェック・ポイント

バーチャル・アプライアンス

を有効化

先端のセキュリティを手軽に導入

Public Cloud

(7)

迅速に先進のセキュリティを利用可能

Amazon Web Services

上で

チェック・ポイント

バーチャル・アプライアンス

を有効化

必要な

Software Blade

選択するだけ

Public Cloud

(8)

Virtual Appliance for

Amazon Public Cloud

Public Cloud

ADVANCED SECURITY

for Amazon Public Cloud

統合管理

(9)
(10)

想定構成

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

100(eth0)

100(eth1)

VPC: 10.0.0.0/16

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

SG : Security Gateway

IG

外部セグメント

内部セグメント

(11)

環境概要

VPC

としては

10.0.0.0/16

の空間を利用

外部セグメントとして

10.0.0.0/24

を利用

内部セグメントとして

10.0.1.0/24

を利用

このセグメント内の

Web

サーバを保護

SG

には自身の

IP

アドレスと

Web

サーバ用の

IP

アドレスの

2

つを割り当てる

EIP

も同様に

SG

用と

Web

サーバ用の

2

つを割り当てる

EIP1

←→

10.0.0.100

(SGアクセス用)

EIP2

←→

10.0.0.101

(Webサーバ用)

(12)
(13)

VPC

作成

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

IG

外部セグメント

内部セグメント

100(eth0)

100(eth1)

(14)

VPC

環境作成

(15)

VPC

環境作成

VPC

VPC

環境を作成します。

VPC

環境では

10.0.0.0/16

のネットワーク空間を利用します。

(16)

VPC

環境作成

(17)

外部セグメント作成

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

IG

外部セグメント

内部セグメント

VPC

100(eth0)

100(eth1)

(18)

外部セグメント作成

VPC

環境内に外部セグメントを作成します。

外部サブネットを作成する

VPC

と、割り当

てるサブネット

(10.0.0.0/24)

を指定します。

testX_Ext-Net

“で⼊⼒して下さい

testX_VPC

”を選択

(19)

外部セグメント作成

VPC

(20)

内部セグメント作成

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

VPC: 10.0.0.0/16

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

SG : Security Gateway

IG

外部セグメント

内部セグメント

100(eth0)

100(eth1)

(21)

内部セグメント作成

VPC

VPC

環境内に内部セグメントを作成します。

内部サブネットを作成する

VPC

と、割り当

てるサブネット

(10.0.1.0/24)

を指定します。

testX_Int-Net

“で⼊⼒して下さい

testX_VPC

”を選択

(22)

内部セグメント作成

(23)

Internet Gateway

作成

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

IG

外部セグメント

内部セグメント

VPC

100(eth0)

100(eth1)

(24)

Internet Gateway

作成

インターネットに接続する

Internet Gateway

を作成します。

(25)

Internet Gateway

作成

VPC

Internet Gateway

VPC

を紐付けます。

(26)

Internet Gateway

作成

(27)

外部セグメント用ルーティング設定

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

IG

外部セグメント

内部セグメント

VPC

100(eth0)

100(eth1)

(28)

ルート・テーブル作成

外部セグメントで使用するルート・テーブルを

作成します。

ルート・テーブルを作成する

VPC

(testX_VPC)

を選択します。

testX_SG-Route

”で⼊⼒して下さい

testX_VPC

”を選択

(29)

ルート・テーブル作成

VPC

作成されたルート・テーブルに

ルーティング情報を追加します。

(30)

ルート・テーブル作成

デフォルトルート

(0.0.0.0/0)

が、

Internet Gateway

に向くように設定します。

ヒント:

Internet Gateway

の名前は

(31)

ルート・テーブル作成

VPC

このルート・テーブルを使用する

サブネットを指定します。

(32)

ルート・テーブル作成

(33)

ルート・テーブル作成

VPC

(34)

Security Group (AWS

標準セキュリティ

)

設定

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

VPC: 10.0.0.0/16

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

SG : Security Gateway

IG

外部セグメント

内部セグメント

100(eth0)

100(eth1)

(35)

Security Group

作成

VPC

各インスタンスが使用する

Security

Group (

PermissiveSecGrp

)

を作成します。

ヒント:デフォルトの

Security Group

限られた通信しか許可されません

(SG

通信が到達しない

)

。そのため、特別な

Security Group

を作成します。

(36)

Security Group

作成

Security Group

の名前

(

PermissiveSecGrp

)

と、

Security Group

を作成する

VPC

を指定します。

testX_PerSecGrp

“で⼊⼒して下さい

(37)

Security Group

作成

VPC

作成された

Security Group (PermissiveSecGrp)

(38)

Security Group

作成

すべての通信を許可します。

タイプ

:

全てのトラフィック

(39)

Security Group

作成

VPC

Security Group (

PermissiveSecGrp

)

が作成

されました。この

Security Group

を使用すると、

(40)
(41)

SG

インスタンス作成

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

IG

外部セグメント

内部セグメント

100(eth0)

100(eth1)

(42)

SG

インスタンス作成

(43)

SG

インスタンス作成

EC2

(44)

SG

インスタンス作成

AWS Marketplace

“Check Point”

検索します。

”PAYG”

ではない

イメージ

(BYOL)

を選択します。

ヒント:

PAYG

はライセンス込みの

インスタンスになります。利用時間に応じて

Amazon

経由で

R77.30

使用料が課⾦されます。

どちらのモデルも

15

日間の評価機期間があります。

(45)

SG

インスタンス作成

インスタンスタイプを選択します。

ここでは、“

c4.large

”を選択しています。

EC2

ヒント:選択可能なタイプはリリースノート

を参照してください。

未対応のタイプでの動作は保障されません。

(46)

SG

インスタンス作成

SG

インスタンスを設置する

VPC

とサブ

ネット

(

外部セグメント

:10.0.0.0/24)

指定します。【次ページに続く】

testX_VPC

”を選択

testX_Ext-Net

”を選択

(47)

SG

インスタンス作成

1. SG

インスタンスに割り当てる外部

セグメント側の

IP

アドレス

(

10.0.0.100

)

を指定します。

EC2

2.

内部セグメント用にインタフェース

(eth1)

を追加します。

(48)

SG

インスタンス作成

SG

インスタンスに割り当てる内部

セグメント側のサブネット

(

10.0.1.0/24

)

(49)

SG

インスタンス作成

EC2

(50)

SG

インスタンス作成

キー

の欄に、

(51)

SG

インスタンス作成

インスタンスに適用するセキュリティ・

グループ

(

testX_PerSecGrp

)

を指定します。

(52)

SG

インスタンス作成

(53)
(54)

SG

インスタンス作成

ssh

でアクセスするための証明書キーを

作成し、ローカルに保存します。

キーペアのダウンロード後に、

インスタンスの作成

ボタンがクリック

testX

”と⼊⼒し、

キーペアのダウンロー

をクリックします

(55)
(56)
(57)
(58)

SG

インスタンス作成

SG

インスタンスが作成されました。

インスタンスのタイプにより

running

状態に

なるまで時間がかかることがあります。

作成後、

Name

の欄に

testX_SG

”と⼊⼒します。

(59)

送信先

/

送信元の変更チェック無効化

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

IG

外部セグメント

内部セグメント

EC2

100(eth0)

100(eth1)

(60)

送信先

/

送信元の変更チェック無効化

Security Gateway

(

)

以外の通信も

送受信できるようにします。

ヒント:デフォルトでは、自身宛

(

)

以外の

通信しか送受信しません

(

パケットが到達し

ません

)

(61)

送信先

/

送信元の変更チェック無効化

EC2

(62)

内部インタフェース

送信先

/

送信元の変更チェック無効化

内部インタフェースにおいても

Security

Gateway

(

)

以外の通信も送受信できる

(63)

内部インタフェース

送信先

/

送信元の変更チェック無効化

EC2

送信元

/

送信先の変更チェックを

(64)

SG

への

EIP

割り当て

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

VPC: 10.0.0.0/16

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

SG : Security Gateway

IG

外部セグメント

内部セグメント

100(eth0

)

100(eth1)

(65)

SG

EIP

取得

SG

用の

EIP

を取得します。

この

EIP

は、

SG

の管理に利用します。

EC2

(66)

SG

への

EIP

割り当て

取得した

EIP

SG

に割り当てます。

EIP

を割り当てる

SG

インスタンスと

対応する

IP

アドレス

(10.0.0.100)

を指定します。

(67)

SG

への

EIP

割り当て

EC2

(68)

SG

への

EIP

割り当て

(Web

サーバ用

)

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

VPC: 10.0.0.0/16

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

SG : Security Gateway

IG

外部セグメント

内部セグメント

100(eth0)

100(eth1)

(69)

SG

への

Secondary IP

割り当て

(Web

サーバ用

)

内部の

Web

サーバに対応する

IP

アドレス

SG

に割り当てます。

(70)

SG

への

Secondary IP

割り当て

(Web

サーバ用

)

eth0 (

外部

)

インタフェースに、

(71)

SG

への

Secondary IP

割り当て

(Web

サーバ用

)

EC2

セカンダリ

IP

アドレス

(10.0.0.101)

を指定し

(72)

SG

への

Secondary IP

割り当て

(Web

サーバ用

)

ヒント:セカンダリ

IP

アドレスは

SG

側では

特に設定を⾏う必要はありません。

セカンダリ

IP

宛ての通信は

IG

SG

の外部

(73)

SG Secondary IP

EIP

取得

(Web

サーバ用

)

Web

サーバ用のセカンダリ

IP

に対応する

EIP

を取得します。

(74)

SG Secondary IP

EIP

割り当て

(Web

サーバ用

)

Web

サーバ用

EIP

SG

Secondary IP

に割り当てます。

EIP

を割り当てるインタフェースと対応する

IP

アドレスを指定します。

ヒント:インタフェース名は

Network

(75)

SG Secondary IP

EIP

割り当て

(Web

サーバ用

EC2

)

Web

サーバ用

EIP

SG

Secondary IP

(76)
(77)

SG GAiA

管理者パスワード設定

GAiA

ssh

SG

EIP

にアクセスします。

証明書を利用し、“

admin

”ユーザで

ログインします。

デフォルトでは

admin

ユーザにパスワードが

設定されていないため、パスワードを設定し、

設定を保存します。

(78)

SG GAiA

管理者パスワード設定

“admin”

ユーザ用のパスワード作成コマンド

(79)

SG First Time Configuration Wizard

ブラウザで

SG

EIP

https

でアクセス

します。

初回アクセス時に証明書のエラーが

(80)

SG First Time Configuration Wizard

通常の製品と同様に

First Time Configuration

Wizard

が起動しますので、手順に従います。

(81)

SG First Time Configuration Wizard

GAiA

今回は新規インストールを実施するので、

一番上の選択肢を選んだまま次に進めます。

(82)

SG First Time Configuration Wizard

eth0

にはインスタンス作成時に指定した

IP

アドレス

(10.0.0.100)

が設定されています。

(83)

SG First Time Configuration Wizard

GAiA

メーカサイト

(UserCenter)

へ接続するインタ

(84)

SG First Time Configuration Wizard

GW

のホスト名やドメイン、

DNS

サーバの設定

画面が表示されますが、今回は特に内容を

追加せず、次に進めます。

(85)

SG First Time Configuration Wizard

GAiA

次に、日付や時刻の設定画面が表示されます。

日付や時刻に大きなズレがないことを確認して

(86)

SG First Time Configuration Wizard

管理サーバの種類を選択する画面が表示されますが、

標準で選択している項目のまま次に進めます。

(87)

SG First Time Configuration Wizard

GAiA

(88)

SG First Time Configuration Wizard

管理ツール

(SmartConsole)

アクセスする際のアカウントを作成します。

管理者名

: fwadmin

(89)

SG First Time Configuration Wizard

GAiA

管理ツールでアクセスするクライアントの

(90)

SG First Time Configuration Wizard

サマリー画面が表示されますので、

”Finish”

ボタンを

(91)

SG First Time Configuration Wizard

GAiA

(92)

SG First Time Configuration Wizard

(93)

SG First Time Configuration Wizard

GAiA

GAiA

ポータルで

AWS

が認識されている

(94)

SG

内部インタフェース設定

追加した内部インタフェース

(eth1)

は、

自動では設定されないため、手動で設定する必要が

あります。

(95)

SG

内部インタフェース設定

SG

の内部側インタフェースを有効化し、

IP

アドレス

(

10.0.1.100

)

とサブネットマスク

(

255.255.255.0

)

を指定します。

(96)
(97)
(98)

Web

サーバ設定

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

VPC: 10.0.0.0/16

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

SG : Security Gateway

IG

外部セグメント

内部セグメント

100(eth0)

100(eth1)

(99)
(100)
(101)

Web

サーバ環境

(

参考

)

Web

サーバを

VPC

内の内部セグメント

(

10.0.1.0

)

に構成します。

(102)

Web

サーバ環境

(

参考

)

内部セグメントの

IP

アドレス

(

10.0.1.200

)

(103)
(104)

Web

サーバ環境

(

参考

)

キー

の欄に、

(105)
(106)
(107)

Web

サーバ環境

(

参考

)

EC2

ssh

でアクセスするための証明書キーを選択

します

(

事前作成済み

)

(108)
(109)

Web

サーバ環境

(

参考

)

EC2

(110)

Web

サーバ設定

(

参考

)

ユーザ名を

ec2-user

と⼊⼒します。

証明書

(

testX.pem

)

を指定して、

(111)

Web

サーバ設定

(

参考

)

Web

(112)

Web

サーバ設定

(

参考

)

(113)

Web

サーバ設定

(

参考

)

Web

【注意!】

Web

サーバへは

SG

NAT

設定、

セキュリティ・ポリシーが適用

(114)
(115)

内部セグメント用ルーティング設定

SG

Web

サーバ

10.0.0.0/24

10.0.1.0/24

200

仮想

IP: 101

EIP1

・・・

SG

EIP2

・・・

Web

サーバ用

IG

外部セグメント

内部セグメント

100(eth0)

100(eth1)

(116)

Web

サーバ用ルートテーブル作成

Web

サーバ

(

内部セグメント

)

で使用する

ルート・テーブルを作成します。

ルート・テーブルは

VPC

で使用します。

(117)

Web

サーバ用ルートテーブル作成

作成したルート・テーブル

(Web Route)

ルーティング情報を追加します。

(118)

Web

サーバ用ルートテーブル作成

デフォルト・ルート

(0.0.0.0/0)

SG

内部インタフェース

に向かうようにします。

SG

の内部インタフェースは

EC2

(119)

Web

サーバ用ルートテーブル作成

ルート・テーブルを使用するサブネットを

指定します。

(120)

Web

サーバ用ルートテーブル作成

ルート・テーブルを内部セグメント

(121)
(122)

SmartDashboard

SG

にアクセスします。

ID : fwadmin

Password : P@ssw0rd

(123)
(124)

GW

プロパティ

画面左下にあるメニューから、

GW

(125)
(126)

SG

トポロジー設定

トポロジーを正しく設定します。

“Get”

”Interface with Topology..”

を選択します。

正しく設定できると、以下のような状態に

更新されます。

eth0 (10.0.0.100): External

eth1 (10.0.1.100): Internal

(127)

Web

サーバ・オブジェクト

(

外部

)

Web

サーバ用のオブジェクトを作成するために、

画面右下にある

”Nodes”

の項目を右クリックして、

オブジェクトの作成画面を表示させます。

(128)

Web

サーバ・オブジェクト

(

外部

)

Web

サーバの外部側での

IP

アドレスの

オブジェクトを作成します。

NAT

および

FireWall

ルールで使用します。

Name : Web-SV-ext

IPv4 Address : 10.0.0.101

(129)

Web

サーバ・オブジェクト

(

内部

)

外部側のオブジェクトと同じ流れで、

Web

サーバの内部側での

IP

アドレスの

オブジェクトを作成します

(

実際の

IP

アドレス

)

NAT

および

FireWall

ルールで使用します。

Name : Web-SV-int

IPv4 Address : 10.0.1.200

GUI

(130)

NAT

ルール

Web

サーバを

NAT

する

Manual NAT

ルールを追加するために、画面左上に

ある

”NAT”

を選択します。

(131)

NAT

ルールの説明

1.

デフォルトで⼊っている

Office Mode

NAT

ルール

(

削除可

)

2.

デフォルトで⼊っている

Office Mode

NAT

ルール

(

削除可

)

3.

インターネットから

Web

サーバ

(10.0.0.101)

宛ての通信を

10.0.1.200

宛てに変換

(132)

FW

ルールの例

適切なセキュリティ・ポリシーを作成する

(133)

ルール説明

1.

インターネットから

SG

への

ssh / https

通信を許可

2.

インターネットから

Web

サーバへの

http / ssh

通信を許可

3.

Web

サーバからインターネットへの

http/dns

通信を許可

(134)
(135)

以上で設定は完了です!

正しく設定できていれば、

内部の

Web

サーバに通信を

⾏うことができるはずです。

(136)

Web

サーバへアクセス

(137)

ログの例

:

SmartView Tracker

GUI

Web

サーバ

(Web-SV-ext / 10.0.0.101)

への

(138)

ログ詳細

ログを詳しく⾒ると、

10.0.1.200

NAT

されて

(139)

参照

関連したドキュメント

  If, as argued above, monetary transfers between the water utility and potential customers disconnected are not allowed, then the water utility will be required to satisfy

of “ those who don ʼ t know the administration ʼ s satoyama conservation activity ” among those who know about the NPO. Therefore, informing the residents of the administration

MPIO サポートを選択すると、 Windows Unified Host Utilities によって、 Windows Server 2016 に含まれている MPIO 機能が有効になります。.

サーバー費用は、Amazon Web Services, Inc.が提供しているAmazon Web Servicesのサーバー利用料とな

[10] J. Buchmann & H.C. Williams – A key exchange system based on real quadratic fields, in Advances in Cryptology – Crypto ’89, Lect. Cantor – Computing in the Jacobian of

(採択) 」と「先生が励ましの声をかけてくれなかった(削除) 」 )と判断した項目を削除すること で計 83

必要な情報をすぐ探せない ▶ 部品単位でのリンク参照が冊子横断で可能 二次利用、活用に制約がある ▶

えて リア 会を設 したのです そして、 リア で 会を開 して、そこに 者を 込 ような仕 けをしました そして 会を必 開 して、オブザーバーにも必 の けをし ます