Get StartedウィザードのVerify network assetページでは、CloudFormation展開スクリプトを作成し、Network Securityを展開してCloudアセットを保護する前に、AWS環境で満たす必要がある前提条件のリストを提供します。
以下の表は、Edge保護展開でNetwork Securityを展開する前に満たす必要があるすべての前提条件項目の詳細な説明を提供します。これらの前提条件のほとんどは、AWSアカウントの管理コンソールから完了する必要があります。
 |
注意満たされていない前提条件のみがVerify network assetページに表示されます。
|
|
前提条件
|
詳細な説明
|
要件を満たすため
|
|
|
1
|
インターネットゲートウェイがVPCに接続されています
|
この展開オプションは主にインターネットからのトラフィックを保護するため、この前提条件によりインターネットゲートウェイがVPCに接続され、インターネットゲートウェイが保護されることを保証します。
|
保護したいVPCにインターネットゲートウェイを接続します。
|
|
2
|
AZ内のパブリックサブネットにはインターネットゲートウェイルートが含まれています
|
この展開オプションでは、インターネットゲートウェイからルーティングされたパブリックサブネットのインターネットトラフィックを検査のためにNetwork Security
Virtual Applianceに再ルーティングする必要があります。この前提条件により、アプライアンスが展開される各AZにインターネットゲートウェイルートを持つ少なくとも1つのパブリックサブネットがVPCに含まれていることが保証されます。
|
インターネットゲートウェイへのルートを持つルートテーブルが関連付けられたパブリックサブネットを少なくとも1つ追加してください。
|
|
3
|
このVPCにはIPv6 CIDRブロックが含まれていません
|
Network SecurityはIPv6 CIDRブロックをサポートしていません。この前提条件により、選択されたVPCにIPv6 CIDRブロックが設定されていないことが保証されます。
|
選択したVPCにIPv6ルートが含まれている場合、展開を続行するには別のVPCを選択する必要があります。
|
|
4
|
IPv6ルートはパブリックサブネットルートテーブルに含まれていません
|
この前提条件により、このVPCのパブリックサブネットルートテーブルにIPv6ルートが含まれないことが保証されます。この展開オプションはIPv6をサポートしていません。
|
ルートテーブルからIPv6ルートを削除するか、IPv6ルートを含まないVPCを選択してください。
|
|
5
|
このリージョン用のSSHキー ペアが作成されました
|
この前提条件により、保護が必要なVPCと同じリージョンに少なくとも1つのSSHキーペアが存在し、Network Security Virtual Applianceにアクセスできるようになります。
|
VPCと同じリージョンでSSHキーペアを作成します。
|
|
6
|
このVPCには十分なCIDRスペースがあります
|
この展開オプションでは、CloudFormationがVPC内にインスペクションサブネットと管理サブネットの2つのサブネットを作成するため、VPCには少なくとも2つの/28
CIDRブロックが利用可能である必要があります。この前提条件により、VPCにはこの展開に必要なインスペクションサブネットと管理サブネットを作成するための十分なCIDRスペースが含まれていることが保証されます。
|
VPCのために追加のCIDRスペースを作成します。
|
|
7
|
この地域ではNetwork Security AMIが利用可能です
|
この前提条件により、Network Security Virtual Appliance AMIがこのVPCと同じリージョンで公開され、利用可能であることが保証されます。
|
Network Security AMIがすでにお住まいの地域で利用できない場合は、この地域でAMIを共有するためにトレンドマイクロ サポートチームに連絡してください。Network
Security管理インターフェースから、[Help → Support]をクリックします。
|
|
8
|
各AZにNATゲートウェイがあります
|
この展開オプションでは、管理サブネットからのトラフィックがNATゲートウェイを通じてルーティングされます。この前提条件により、VPCにはパブリックサブネットを含む各AZにNATゲートウェイが含まれていることが保証されます。Network
Security Virtual Applianceが通信できるようにするには、NATゲートウェイが必要です。
|
各AZにパブリックサブネットを持つNATゲートウェイを作成します。
|
|
9
|
ルートテーブルのエッジ関連付けは無効です
|
この展開オプションでは、インターネットゲートウェイのルートがパブリックサブネットではなく検査サブネットにトラフィックを送信するように変更されます。CloudFormation中にルートテーブルとインターネットゲートウェイのエッジアソシエーションを削除することはできないため、この前提条件により、VPCがインターネットトラフィックをパブリックサブネットにルーティングするルートテーブルのエッジアソシエーションを使用しないことが保証されます。
|
ルートテーブルエッジのインターネットゲートウェイとの関連付けを削除します。CloudFormationの間に新しいルートテーブルが関連付けられます。
|
|
10
|
インターネットゲートウェイルートはメインルートテーブルにありません
|
この展開オプションでは、パブリックサブネットからインターネットゲートウェイにトラフィックを送信するルートが変更され、インターネットトラフィックがパブリックサブネットではなく検査サブネットに送信されるようになります。この前提条件により、VPCがインターネットトラフィックをパブリックサブネットにルーティングするためにメインルートテーブルを使用しないことが保証されます。メインルートテーブルにインターネットゲートウェイルートが含まれている場合、新しいサブネットが作成されるとVPCは完全に保護されません。
|
メインルートテーブルにパブリックサブネットへのインターネットトラフィックのルートが含まれている場合、このルートを削除するか、別のルートテーブルをメインルートテーブルとして指定してください。
|
|
11
|
Trend Micro Cloud OneアカウントはVirtual Applianceの最大数を下回っています
|
この展開オプションでは、保護が必要な各AZにNetwork Security Virtual Applianceが展開されますが、各アカウントに展開できるVirtual
Applianceの数には制限があります。この前提条件により、このTrend Micro Cloud Oneアカウントで許可されている最大数を超えるVirtual
Applianceが作成されないことが保証されます。
|
Network Security管理インターフェースから[Help → Support]をクリックして、トレンドマイクロ サポートチームに連絡し、制限の増加を依頼してください。
|
|
12
|
IPアドレスは各パブリックサブネットで利用可能です
|
この展開オプションでは、Network Securityは各パブリックサブネット内にENIを作成し、インターネットトラフィックを検査のためにVirtual Applianceにルーティングします。この前提条件により、ENIをサブネットにアタッチできるように、パブリックサブネットに少なくとも1つのIPアドレスが含まれていることが保証されます。
|
新しいパブリックサブネットを作成するか、別のパブリックサブネットを使用するか、サブネットから未使用のリソースを削除してください。
|
|
13
|
提供されたAZにはパブリックサブネットが含まれています
|
この前提条件は、保護が必要なAZのリストに含まれる各AZにパブリックサブネットが含まれていることを保証します。
|
保護が必要なAZのリストには、パブリックサブネットを含むAZのみを含めてください。
|