セキュリティグループ

メニューの概要

セキュリティグループメニューはサーバーインスタンスの仮想ファイアウォールとして機能し、設定した条件に基づいて受信トラフィック、送信トラフィックを制御できます。

overview.png
  • セキュリティグループ毎に、セキュリティグループルールを作成することができ、通信制御の内容を設定できます。
  • ロジカルネットワークのポートをサーバーインスタンスに接続し、セキュリティグループを割り当てることで通信制御します。
  • 作成したセキュリティグループは、そのセキュリティグループを作成したテナント内でのみ使用できます。

利用できる機能

機能一覧

本メニューにて利用できる機能は、次の表のとおりです。

項番 機能 概要
1 セキュリティグループ機能 ポート単位で動作する仮想ファイアウォール機能を提供します。
2 セキュリティグループのポートへの適用機能 セキュリティグループをロジカルネットワークのポートへ適用する機能を提供します。
3 セキュリティグループ管理機能 セキュリティグループおよびセキュリティグループルールを管理する機能を提供します。

各機能の説明

1. セキュリティグループ機能

  • ロジカルネットワークのポートにステートフルファイアウォールの機能を提供します。
  • セキュリティグループにインバウンド(Ingress)、アウトバウンド(Egress)のルールを追加することで、通信の制御が可能です。
    • 許可ルールのみ設定可能です。拒否ルールは設定できません。
    • プロトコルとポート番号に基づいて通信をフィルタリングできます。
    • 複数のルールが設定されている場合、いずれかのルールに合致すればその通信は許可されます。どのルールにも該当しない通信は破棄されます。
    • Ingressはサーバーインスタンスが受信する通信、Egressはサーバーインスタンスから送信する通信です。
overview.png
  • セキュリティグループはステートフルです。
    • サーバーインスタンスからリクエストを送信した場合、そのリクエストのレスポンス通信は、インバウンドのルールにかかわらず通過することができます。
    • 許可されたインバウンド通信に対する応答(戻りの通信)は、アウトバウンドのルールにかかわらず通過することができます。

2. セキュリティグループのポートへの適用機能

  • セキュリティグループをロジカルネットワークのポートに適用する機能を提供します。
    • セキュリティグループの管理画面または、ロジカルネットワークのポートの作成/編集画面にて、ポートにセキュリティグループを適用することができます。
  • セキュリティグループは下記のリソースのポートに適用することができます。
適用可能なリソース
• サーバーインスタンス
適用できないリソース
• 上記以外のリソース(ベアメタルサーバー、ストレージメニュー、Managed Load Balancer、ロードバランサー(NetScaler VPX)、Managed Firewall/UTM/WAF など)

注釈

  • 何にも接続していないポートにセキュリティグループを適用することは可能です。ただし、そのポートを「適用可能なリソース」以外のポートに接続することはできません。

3. セキュリティグループ管理機能

  • セキュリティグループおよびセキュリティグループルールを管理する機能を提供します。
項目   内容
セキュリティグループ 作成
• セキュリティグループを新規作成できます。
• 作成時にセキュリティグループの名前、説明、タグの設定ができます。
  詳細表示
• セキュリティグループの詳細を確認することができます。
• セキュリティグループをポートに適用することができます。
  編集
• セキュリティグループを編集することができます。
• 編集時にセキュリティグループの名前、説明、タグの変更ができます。
  削除
• セキュリティグループを削除することができます。
• 一度削除されたセキュリティグループは、元に戻すことはできません。
• セキュリティグループを削除すると、それに紐付くセキュリティグループルールも削除されます。
セキュリティグループルール 追加
• セキュリティグループにセキュリティグループルールを追加することができます。
• 追加時に、以下の項目を設定できます。
- 方向(ingress / egress)
- 送信元 / 送信先(IPアドレス / 同一ロジカルネットワーク上のセキュリティグループ名/ 同一テナント内のサブネット)
- プロトコル
- ポート番号(範囲指定可)
  削除
• セキュリティグループルールを削除することができます。一度削除されたセキュリティグループルールは、元に戻すことはできません。

注釈

  • セキュリティグループルールは編集できません。編集したい場合は、削除・追加を行ってください。
    削除したルールと新しく追加したルールは別のルールとして課金計算されます。
  • セキュリティグループルールの送信元 / 送信先にセキュリティグループ名を設定した場合、同一ロジカルネットワークにある送信元 / 送信先のみが通信制御の対象となります。詳しくは NGルール をご覧ください。

デフォルト設定

テナントにあらかじめ用意されているセキュリティグループ

本メニューの提供リージョンの全てのテナントにおいて、作成時にデフォルトで下記のセキュリティグループが用意されています。

  • あらかじめ用意されているセキュリティグループを編集/削除はできません。また、セキュリティグループルールの追加/削除をすることはできません。
  • あらかじめ用意されているセキュリティグループに属するセキュリティグループルールには課金されません。
セキュリティ グループ名 セキュリティグループルール 編集可不可 課金有無 備考
Direction Remote IP Prefix Remote Security Group Port Range Protocol
permit-any Ingress any - any any 不可 インバウンド/アウトバウンド ともにすべて許可
Egress any - any any
deny-ingress Egress any - any any 不可 インバウンドをすべて拒否/ アウトバウンドをすべて許可

デフォルトで適用されるセキュリティグループ

本メニューの提供リージョンの全てのテナントにおいて、すべてのポートにデフォルトで下記のセキュリティグループが適用されています。そのため、全ての通信が許可されています。

セキュリティ グループ名 セキュリティグループルール
Direction Remote IP Prefix Remote Security Group Port Range Protocol
permit-any Ingress any - any any
Egress any - any any
  • セキュリティグループ[permit-any]が適用されているポートの一覧には、本サービスの「適用可能なリソース」および「何にも接続されていないポート」以外は表示されません。

セキュリティグループを新規作成したときのセキュリティグループルール

  • セキュリティグループを新規作成した初期状態では、セキュリティグループにはセキュリティグループルールは含まれていません。

注釈

  • ポートからデフォルトで適用されている[permit-any]のセキュリティグループを外し、お客様が作成したセキュリティグループを割り当てた場合、そのセキュリティグループにセキュリティグループルールが追加されるまで全ての通信が破棄されます。

サービスプラン

メニューおよびプラン

本メニューにはプラン設定はございません。


申し込み方法

Smart Data Platform をご契約いただいたお客さまは、本メニューを申し込むことが可能です。 申し込み種別、申し込み方法、納期は、次の通りです。

申し込み種別 申し込み方法 納期
セキュリティグループの新規作成 カスタマーポータル / API経由で、お客さま自身の操作により申し込み 即時
セキュリティグループの削除 カスタマーポータル / API経由で、お客さま自身の操作により申し込み 即時
セキュリティグループルールの追加 カスタマーポータル / API経由で、お客さま自身の操作により申し込み 即時
セキュリティグループルールの削除 カスタマーポータル / API経由で、お客さま自身の操作により申し込み 即時

注釈

  • セキュリティグループルールの追加を実施するとセキュリティグループルールごとに課金が開始されます。
  • セキュリティグループがポートに適用されていなくても、課金されます。

申込み時の注意点

  • セキュリティグループの各種申し込みの上限数は次の通りです。
制限設定単位 申し込み項目 上限数
テナントあたり セキュリティグループ 50
ポートあたり セキュリティグループ 10
セキュリティグループあたり セキュリティグループルール 20

ご利用条件

他メニューとの組み合わせ条件

  • 本メニューは、以下のメニューと合わせてご利用いただくことを前提としています
    • ロジカルネットワーク
    • サーバーインスタンス

注釈

  • 上記以外のメニューのリソースに対してセキュリティグループを適用することはできません。

  例)ベアメタルサーバー、ストレージメニュー、Managed Load Balancer、ロードバランサー(NetScaler VPX)、Managed Firewall/UTM/WAF など


ご提供リージョン

  • 本メニューはJP7リージョンでのみご利用いただけます。

最低利用期間

  • 本メニューの最低利用期間はございません。

料金

初期費用

  • 本メニューでは、初期費用はございません。

月額費用

  • 本メニューは、月ごとに利用料金を請求いたします。
  • セキュリティグループルール単位で課金いたします。
  • セキュリティグループルール毎に、ルールを作成してから削除されるまでの時間(利用時間)を分単位(秒で計測し端数は切り上げ)で計測し、利用量料金の単価を乗算することによって月額料金を算出します。ルール毎の切り上げ計算であるため、ご請求額が単価に利用量(総時間)を乗じた値より大きくなる場合があることをご理解ください。
  • ルール毎の利用量料金の単価および月額上限金額は、プランと料金 をご覧ください。
  • 料金明細には、ユニークなルール数の合計、利用時間の合計、およびルール毎の月額金額の合計金額が表示されます。ルール毎の利用時間や月額金額は、明細には表示されません。予めご了承ください。

メニュー提供の品質

サポート範囲

本メニューでは サポート - ベーシックプラン として、次の範囲のサポートを提供いたします。

  • 以下の範囲を対象とするメニュー仕様・設定方法、利用不可・性能劣化などに関するお問い合わせ
    • セキュリティグループリソース
    • API , コントロールパネル

また Professional Support Services - 運用支援 (ベーシックプラスプラン) をご利用のお客さまに限り、上記に加え、時間(24H365D)と手段(コールバック電話)を拡張してサポートを提供いたします。

なお、サポート - ベーシックプラン , Professional Support Services - 運用支援 (ベーシックプラスプラン) では、具体的なシステム構成・パラメーター作成など導入に関するサポートはいたしておりません。

運用

  • 本メニューの運用品質は、Smart Data Platform クラウド/サーバーに標準で定められた運用品質に準じます。詳細については、 Support-詳細情報 を参照ください。

SLA

  • 本メニューに標準で定められたSLAに準じます。詳細については、 SLA の「サービスレベル合意書(ネットワーク)」をご参照ください。

制約事項

  • セキュリティグループルールの送信元 / 送信先にセキュリティグループを設定した場合、同一ロジカルネットワークにある送信元 / 送信先のみが通信制御の対象となります。
  • 作成したセキュリティグループは、そのセキュリティグループを作成したテナント内でのみ使用できます。テナント間接続によりロジカルネットワークが複数のテナントにまたがっている場合、当該セキュリティグループを作成したテナントのみで使用できます。
  • SDPF クラウド/サーバー セキュリティグループでは、API操作によりセキュリティグループルールにおいてIPv6に関する設定が可能となっておりますが、SDPF クラウド/サーバーにおいてIPv6の動作はサポートしておらず、セキュリティグループメニューでも同様にIPv6に関する設定/動作はサポートしておりません。