tencent cloud

Cloud Virtual Machine

最新情報とお知らせ
製品情報
パブリックイメージの更新情報
OSの公式サポート終了計画
製品に関するお知らせ
製品概要
CVM概要
製品の強み
基本概念
リージョンとゾーン
初心者ガイド
Service Regions and Service Providers
製品の課金
課金概要
課金モデル
課金項目
課金モデルの変更
購入インスタンス
仕様変更の料金説明
料金未払いに関する説明
クイックスタート
カスタム設定によるLinuxインスタンスの購入
カスタム設定によるWindowsインスタンスの購入
ユーザーガイド
操作ガイド一覧
ご利用制限一覧
インスタンス
スポットインスタンス
リザーブドインスタンス
イメージ
ストレージ
バックアップと復元
ネットワーク
セキュリティ
パスワード/キー
監視とアラート
運用管理
便利な機能
サーバー移行
オンライン移行
オフライン移行
移行に関するご相談
トラブルシューティング
CVMインスタンスにログインできない原因や対処法
Windowsインスタンスのログインに関する障害
Linuxインスタンスのログインに関する障害
その他のインスタンスログインに関する障害
インスタンス実行時の障害
Linuxインスタンスのメモリに関する障害
ネットワーク障害
実践チュートリアル
CVMの選定ガイド
環境構築
ウェブサイトの構築
アプリケーションの構築
可視化ページの構築
ローカルファイルをCVMへアップロード
ネットワークパフォーマンステスト
その他の実践チュートリアル
API リファレンス
History
Introduction
API Category
Making API Requests
Region APIs
Instance APIs
Cloud Hosting Cluster APIs
Image APIs
Instance Launch Template APIs
Placement Group APIs
Key APIs
Security Group APIs
Network APIs
Data Types
Error Codes
セキュリティとコンプライアンス
Cloud Access Management(CAM)
ネットワーク
よくあるご質問
リージョンとアベイラビリティゾーンに関するご質問
課金クラス
インスタンスに関するご質問
ストレージに関するご質問
イメージに関するご質問
サーバー移行について
ネットワークに関するご質問
セキュリティに関するご質問
OSに関するご質問
運用と監視に関するご質問
CAMに関するご質問
NTPサービスに関するご質問
適用シナリオに関するご質問
Agreements
CVM Service Level Agreements
Red Hat Enterprise Linux Image Service Agreement
Public IP Service Level Agreement
用語集
ドキュメントCloud Virtual Machineユーザーガイドセキュリティセキュリティグループセキュリティグループの概要

セキュリティグループの概要

PDF
フォーカスモード
フォントサイズ
最終更新日: 2022-06-29 11:06:37
セキュリティグループは、ステートフルパケットをフィルタリングする機能を備えた仮想ファイアウォールです。CVM、Cloud Load Balancer(CLB)、クラウドデータベースなどのインスタンスを設定するネットアクセス制御、インスタンスレベルのインバウンド・アウトバウンドトラフィックの制御のために使用されます。ネットワークセキュリティに対する重要な隔離手段です。 セキュリティグループルールを設定することにより、セキュリティグループ内のインスタンスのインバウンドおよびアウトバウンドトラフィックを許可または拒否できます。

セキュリティグループの特徴

セキュリティグループは、論理グループであり、同一リージョン内にある同じネットワークセキュリティ分離要件を持つCVM、ENI、TencentDBなどのインスタンスを同じセキュリティグループ内に追加することができます。
セキュリティグループにルールが追加されていない場合、デフォルトではすべてのトラフィックが拒否されます。お客様が適切な許可ルールを追加してください。
セキュリティグループはステートフルであり、許可されたインバウンドトラフィックに対して、自動的にアウトバウンドも許可され、逆の場合も同じです。
いつでもセキュリティグループルールを変更できます。新しいルールはすぐに有効になります。

使用制限

セキュリティグループの使用制限とクォータについては、 使用制限一覧 のセキュリティグループに関連する制限の章をご参照ください。

セキュリティグループルール

構成要素

セキュリティグループルールの構成要素は、以下のことを含みます:
ソース:ソースデータ(インバウンド)またはターゲットデータ(アウトバウンド)のIPアドレス。
プロトコルタイプとプロトコルポート:プロトコルタイプは、 TCP、UDPなどです。
ポリシー:許可または拒否。

ルールの優先順位

セキュリティグループ内のルールは、優先順位があります。リストの一番上が、最も優先順位が高くなります。下になるほど優先順位は低くなります。
ルールに競合がある場合、優先順位の高いルールがデフォルトで優先されます。
特定のセキュリティグループにバインドされたインスタンスに入る/出るトラフィックがある場合、セキュリティグループルールリストの一番上にあるルールから順に最後までマッチングを実行します。特定のルールのマッチングに成功した(通過許可/通過拒否)場合は、このルール以降のルールのマッチングを停止します。

複数のセキュリティグループ

1つのインスタンスを1つまたは複数のセキュリティグループにバインドすることができます。インスタンスを複数のセキュリティグループにバインドする場合は、複数のセキュリティグループが一番上から一番下まで順にマッチングを実行します。いつでもセキュリティグループの優先順位を調整することができます。

セキュリティグループテンプレート

セキュリティグループを新規作成する際に、Tencent Cloudが提供する2つのセキュリティグループテンプレートのいずれかを選択できます。
すべてのポートを開放:すべてのインバウンドおよびアウトバウンドトラフィックの通過が許可されます。
主要なポートを開放:ポートTCP 22(Linux SSHログインの場合)、ポート80および443(Webサービスの場合)、ポート3389(Windowsリモートログインの場合)、ICMPプロトコル(Pingコマンドの場合)、およびプライベートネットワークをインターネットにオープンします。
説明:
提供されたセキュリティグループテンプレートがお客様の要求を満たさない場合は、カスタムセキュリティグループを新規作成することができます。詳細については、セキュリティグループの作成セキュリティグループの適用例 をご参照ください。
アプリケーション層(HTTP/HTTPS)に対するセキュリティ保護要件がある場合は、別途、Tencent Cloud Web Application Firewall (WAF) を購入することができます。WAFはアプリケーション層のWebセキュリティ保護を提供し、Web脆弱性攻撃、悪意あるクローラやCC攻撃などの行為を食い止め、サイトやWebアプリケーションのセキュリティを保護します。

使用手順

セキュリティグループの使用手順は下図のとおりです:



セキュリティグループのベストプラクティス

セキュリティグループの作成

APIを介してCVMを購入する場合、セキュリティグループを指定することをお勧めします。セキュリティグループが指定されていない場合、システムによって自動的に生成されたデフォルトのセキュリティグループが使用されます。またデフォルトのセキュリティグループは削除できません。デフォルトのルールはすべてのIPv4をオープンすることであり、作成された後に状況に応じて変更することができます。
インスタンス保護ポリシーを変更する必要がある場合は、新しいセキュリティグループを作成するのではなく、既存のルールを変更することをお勧めします。

ルールの管理

ルールを変更したい場合は、まず現在のセキュリティグループをエクスポートしてバックアップすることができます。新たなルールに悪影響がある場合は、以前のセキュリティグループルールをインポートして復元することができます。
複数のセキュリティグループルールが必要となる場合には、パラメータテンプレートを使用してください。

セキュリティグループと関連付ける

インスタンスごとに個別のセキュリティグループを設定する必要がなく、同じ保護要件を持つインスタンスを同じセキュリティグループに追加することができます。
過剰な数のセキュリティグループを1つのインスタンスにバインドすることを回避してください。セキュリティグループルール同士の競合により、ネットワークに接続できなくなる場合があります。
前の記事へ: プライベートネットワークサービスの切り替え次の記事へ: セキュリティグループの作成

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック