ビュー:
注意
注意
Network SecurityのGateway Load Balancerでは動的な自動スケーリングはまだサポートされていません。
AWS環境でGateway Load BalancerのTransit Gatewayルーティングアーキテクチャを使用して、送信トラフィックの保護を展開するための手順を完了してください。
GWLB_option2=744e9b36-458f-4d2e-9ea9-ce53e4b9d216.png

マクロテンプレートスタックを作成 親トピック

手順

  1. AWSアカウントにログインしてください。
  2. このリンクをクリックしてMacro CloudFormationスタックを作成してください。
  3. すべてのパラメータをデフォルト設定のままにして、[Create stack]をクリックしてください。

セキュリティVPCテンプレートスタックを作成 親トピック

手順

  1. AWSアカウントにログインしてください。
  2. 次のリンクをクリックして、セキュリティVPC CloudFormationスタックを作成してください: Trend Micro Cloud Oneアカウント
  3. Specify stack detailsページで、次のパラメーターを入力してください:
    • [Availability Zones (AZ):] Workload VPCで使用されているすべてのアベイラビリティゾーンを選択してください。
    • [Security VPC CIDR Block:] セキュリティVPCのVPC CIDRを入力してください。このCIDRは環境内で一意である必要があります。
    • [SSH Key Pair:] SSHキーの名前を選択してください。
    • [Trend Micro Cloud One appliance deployment token:] Trend Micro Cloud Oneアプライアンス展開トークンを入力してください。 詳細はこちら
    • [Network Security Instance AMI:] 最新のNetwork Security AMI IDを入力してください。AMI IDに対して正しいリージョンが選択されていることを確認してください。詳細はこちら
    • [Number of instances:] 各AZで作成するNetwork Securityインスタンスの数を選択してください。
    • [Instance Type:] デフォルト設定のままにしてください。
    • [Enable Inspection logs:] 有効にすると、NSVAインスペクションログがCloudWatchロググループnetwork_security_logsに公開されます。
  4. スタックオプションの残りの手順に従い、[Create stack]をクリックします。
  5. スタックが作成されたら、[Stack details]をクリックし、次に[Outputs]をクリックします。
  6. Gateway Load Balancerエンドポイントサービス名の値をコピーして、Security VPCでGateway Load Balancerエンドポイントを作成する際に使用します。
    注意
    注意
    2023年9月5日以前にSecurity VPCスタックを作成した場合、AWS Lambda関数のPythonランタイムをバージョン3.10に、Node.jsランタイムをバージョン20.xに手動で更新することをお勧めします。
  7. AWSコンソールでPythonおよびNode.jsのランタイムバージョンを手動で更新するには:
    1. Lambdaサービスページに移動します。
    2. リストからLambda関数を選択してください。
    3. 実行時設定までスクロールし、[Edit]をクリックします。
    4. 利用可能なランタイムのドロップダウンメニューからPython 3.10とNode.js 20.xを選択し、[保存]をクリックします。

セキュリティVPCを変更 親トピック

Security VPCスタックをデプロイした後、Security VPCの設定に次の調整を行ってください。
注意
注意
すでに環境にTransit Gatewayがない場合は、続行する前にTransit Gatewayを作成してください。詳細はこちら

サブネットを作成 親トピック

  • [Transit Gateway attachment subnet:] Transit Gatewayアタッチメントが必要な各AZにサブネットを作成します。/28のような小さなCIDRブロックを使用することをお勧めします。
  • [Gateway Load Balancer Endpoint subnet:] 各AZにGateway Load Balancerエンドポイントを持つサブネットを作成します。/28のような小さなCIDRブロックを使用することをお勧めします。

Transit Gatewayアタッチメントを作成 親トピック

Transit Gatewayアタッチメントを作成して、Workload VPCをセキュリティVPCに接続します。アタッチメントを作成する際には、前のセクションで作成した各アベイラビリティゾーンのTransit Gatewayアタッチメントサブネットを選択してください。詳細はこちら

各AZにGateway Load Balancerエンドポイントを作成する 親トピック

手順

  1. AWS Management ConsoleからVPCダッシュボードに移動します。
  2. Virtual Private Cloudの下で、[Endpoints]をクリックし、次に[Create Endpoint]をクリックします。
  3. サービスカテゴリについては、[Find service by name]を選択してください。
  4. セキュリティVPCスタックを作成したときにGateway Load Balancerエンドポイントサービス名としてコピーした値を入力してください。
  5. VPCの場合は、セキュリティVPCとGateway Load Balancerエンドポイントサブネットを選択してください。
  6. [Create endpoint]をクリックしてください。

ルートテーブルを作成または変更する 親トピック

手順

  1. VPCダッシュボードに移動し、[Route Tables]をクリックして新しいルートテーブルを作成するか、既存のルートテーブルを変更します。
  2. Transit Gatewayアタッチメントサブネットルートテーブルを作成
    • [Name tag:] Transit Gatewayアタッチメントサブネットルートテーブル
    • [VPC:]セキュリティVPC
      注意
      注意
      このルートテーブルを環境内の各AZに作成してください。
    • [Edit routes]
      配信先
      対象
      0.0.0.0/0
      対応するAZでGateway Load BalancerエンドポイントIDを選択します。
    • [Create subnet association]
      Transit Gatewayアタッチメントサブネットルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、作成したTransit Gatewayアタッチメントサブネットを選択します。各AZごとに作成するTransit Gatewayアタッチメントサブネットルートテーブルに対してアソシエーションを作成します。
  3. Gateway Load Balancerエンドポイントサブネットルートテーブルを作成する
    • [Name tag:] Gateway Load Balancer エンドポイントサブネットルートテーブル
    • [VPC:]セキュリティVPC
      注意
      注意
      このルートテーブルを環境内の各AZに作成してください。
    • [Edit routes]
      配信先
      対象
      <WORKLOAD_VPC_CIDR>
      Transit Gateway ID
      0.0.0.0/0
      対応するAZのNATゲートウェイID
    • [Create subnet association]
      Gateway Load Balancer Endpointサブネットルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、環境内の各対応するAZのために作成したGateway Load Balancer Endpointサブネットを選択します。
  4. セキュリティVPCパブリックサブネットルートテーブルを変更
    CloudFormationの実行中にセキュリティVPCパブリックサブネットルートテーブルが作成されます。環境内の各AZごとに別々のセキュリティVPCパブリックサブネットルートテーブルが必要です。以下の手順を使用して、各セキュリティVPCパブリックサブネットルートテーブルを変更してください。
    • [Name tag:]セキュリティVPCパブリックサブネットルートテーブル
    • [VPC:]セキュリティVPC
      注意
      注意
      お使いの環境内の各AZに対して、セキュリティVPCパブリックサブネットルートテーブルがあることを確認してください。
    • [Edit routes]
      配信先
      対象
      <WORKLOAD_VPC_CIDR>
      対応するAZでGateway Load BalancerエンドポイントIDを選択します。
      0.0.0.0/0
      インターネットゲートウェイID
    • [Create subnet association]
      各AZごとに作成するセキュリティVPCパブリックサブネットルートテーブルに対して関連付けを作成します。セキュリティVPCパブリックサブネットルートテーブルを選択し、[Subnet Associations]タブをクリックし、[Edit subnet associations]をクリックして、対応するAZのセキュリティVPCパブリックサブネットを選択します。

Transit Gatewayルートテーブルを作成または変更する 親トピック

Transit Gatewayルートテーブルを作成するには、VPCダッシュボードの下部までスクロールし、[Transit Gateway Route Tables][Create Transit Gateway Route Table]をクリックします。
  • [Ingress traffic route table]
  • [Association:] Workload VPC
    CIDR
    添付ファイル
    リソースタイプ
    ルートの種類
    0.0.0.0/0
    セキュリティVPC Transit Gatewayアタッチメント
    VPC
    静的
  • [Egress traffic route table]
  • [Association:]セキュリティVPC
    CIDR
    添付ファイル
    リソースタイプ
    ルートの種類
    <Workload VPC IP CIDR>
    Workload VPC Transit Gatewayアタッチメント
    VPC
    伝播

セキュリティVPC CloudFormationスタックを削除 親トピック

セキュリティVPC CloudFormationスタックを削除する前に、次のことをお勧めします:
  • Auto Scaling Group設定を最小、最大、および希望容量を0に変更します。これにより、Network Security Virtual Applianceインスタンスが自動的に削除され、Trend Micro Cloud Oneから登録解除されます。
  • Gateway Load Balancerエンドポイントを削除します。
セキュリティVPC CloudFormationスタックを削除するには:

手順

  1. AWSマネジメントコンソールから、EC2ダッシュボードに移動します。
  2. [Auto Scaling]の下で、[Auto Scaling Groups]をクリックします。
  3. Auto Scaling groupの横にあるチェックボックスを選択します。選択したGroupに関する情報を表示するスプリットペインがAuto Scaling groupsページの下部に表示されます。
  4. Detailsタブで、最小、最大、および希望する容量の現在の設定を0に変更します。Auto Scaling GroupのステータスはUpdating capacityに変更されます。
  5. Updating capacityステータスがクリアされた後、CloudFormationスタックを削除します。