VMware Cloud on AWSのセキュリティ
-ファイアウォール機能について-

皆さま、こんにちは。
VMware担当の田畑です。

今回はVMware Cloud on AWSのネットワークセキュリティについてご紹介いたします。
※今回ご紹介する内容は2024/1 時点のものとなります。

VMware Cloud on AWSのネットワークはNSXにて構成されており、下図のような通信が可能です。

① ワークロードセグメント間
② ワークロードと管理ネットワーク間
③ ワークロードとインターネットやネイティブAWS

これらの通信は、ワークロードセグメント(仮想マシン用ネットワーク)を作成するとデフォルトでルーティング出来るようになっています。

また、NSXのファイアウォール機能によって、安全なネットワーク接続を確立することができます。
VMware Cloud on AWSは様々な環境との通信が可能ですが、インターネット(外部)と通信する際にはもちろん、内部のワークロードVM同士との通信の際にも、セキュアな接続が求められるケースがございます。
その様な場合にVMware Cloud on AWSでは、ゲートウェイファイアウォール及び分散ファイアウォールによって通信制御を行うことができます。
今回は、それぞれのファイアウォール機能についてご説明いたします。

VMware Cloud on AWSのゲートウェイファイアウォールには、“コンピュートゲートウェイ(CGW)ファイアウォール”と“マネジメントゲートウェイ(MGW)ファイアウォール”の２種類があります。
いずれのファイアウォールもVMware Cloud on AWS外との通信を制御するためのものとなります。(North - Southファイアウォール)
この２種類の大きな違いは下記になります。
コンピュートゲートウェイファイアウォール：ユーザーが実際に運用するワークロードセグメントに対して通信制御が可能
マネジメントゲートウェイファイアウォール：vCenterやNSX、ESXi等の管理ネットワークに対して通信制御が可能

分散ファイアウォールは、East - West間の通信を制御するファイアウォールになります。
仮想マシン単位での通信制御はもちろん、複数の仮想マシンをグループ化し効率よく管理することが可能です。

ファイアウォールの設定は、NSX Managerより実施します。
Securityタブより、どのファイアウォールのルール設定を行うのかを選択します。

どのファイアウォールの場合でも、ルールの追加に必要な入力項目は基本同じになります。
ポイントとなるのは、Sources(送信元)とDestinations(送信先)、サービスの指定の入力方法です。

まず、Sources(送信元)及びDestinations(送信先)には、ユーザーで定義したインベントリグループもしくは事前に定義されたグループを選択する必要がございます。
IPアドレスやNSXのセグメント、仮想マシン単位でグループ化することができます。

次にサービスの指定では、HTTPSやICMP等のリストからサービスを選択するか、ユーザー定義で新規サービスを追加することが可能です。

詳しい設定手順は下記メーカードキュメントをご確認ください。

今回のコラムは以上になります。
またVMware Cloud on AWSに関する内容をアップ予定ですのでお楽しみに。