Sophos UTM on AWSクイックスタート ガイド

ドキュメント作成日: 2017年6月23日

当文書に記載されている仕様と情報は、予告なく変更される場合があります。例で使用されている会社、

名前、データは、明記されている場合を除き架空のものです。Sophos Limited の書面による明示的な

許可なく、当文書の一部または全体を手段を問わず複製または配布することは、いかなる理由において

も許可されません。本マニュアル原文の翻訳には、「マニュアル原文の翻訳( Translation of theoriginal manual) 」と記載しなければなりません。

© 2017 Sophos Limited. All rights reserved.http://www.sophos.com

Sophos UTM、Sophos UTM Manager、Astaro Security Gateway、Astaro CommandCenter、Sophos Gateway Manager、Sophos iView Setup、およびWebAdmin は、SophosLimited の登録商標です。CiscoはCisco Systems Inc.の登録商標です。iOSはApple Inc.の商標で

す。LinuxはLinus Torvalds氏の商標です。他のすべての商標は、該当する所有者の財産です。

限定保証当文書に記載されている情報の正確性は保証されません。コメントや修正については、nsg-docu@sophos.comまでご連絡ください。

目次

1 はじめに 5

2 概要 6

3 展開モデル 7

3.1 スタンドアロン 7

3.2 HA (コールドおよびウォームスタンバイ) 対応のスタンドアロン 7

3.3 Auto Scaling 8

4 Amazon Machine Image 10

4.1 PAYG とBYOL の比較 10

4.2 EC2 キーペア 10

5 UTM サブスクリプション 11

5.1 配信方法 11

5.1.1 単一のAMI 11

5.1.2 CloudFormation コンソール(スタンドアロン) 12

5.1.3 CloudFormation コンソール(Auto Scaling) 14

5.1.4 CloudFormation Outputs 15

5.1.5 CloudFormation Resources 16

5.2 AWS Marketplace Product Support Connection 16

6 スタンドアロン設定 17

6.1 Sophos UTM への接続 (単一のAMI) 17

6.2 Sophos UTM への接続 (CloudFormation コンソール) 18

6.3 Sophos UTM のライセンス取得 18

6.4 Configure HA (オプション) 19

7 Auto Scaling 設定 23

7.1 Sophos UTM への接続 (Auto Scaling) 23

7.2 Sophos UTM のライセンス取得 23

7.3 内部ロードバランサの作成 24

7.4 UTM WAF の設定 25

目次

7.5 Outbound Gateway for AWS 26

7.5.1 Resource Manager 経由でのゲートウェイの展開 28

7.5.2 フェイルオーバーシナリオ 31

8 Sophos UTM の使用の停止 (オプション) 33

8.1 インスタンスの終了 33

8.2 CloudFormation スタックの削除 33

9 Sophos AWS 情報 35

iv Sophos UTM on AWS

1 はじめにSophos UTM on AWS は、AWS クラウドアーキテクチャとAWS セキュリティのベストプラクティスを考慮

して設計されました。本書では、AWS セキュリティ共有責任の機能を活用するお客様を支援し、耐障

害性と拡張性に優れたクラウドアーキテクチャを設定する上でのAWS の推奨事項を確認することを目

的にしています。AWS アーキテクチャとクラウドセキュリティに関して包括的な説明することは本書の目

的ではありませんが、AWS の自社サイトには詳細な情報が提供されています。

l https://aws.amazon.com/security/

l https://aws.amazon.com/architecture/

l https://aws.amazon.com/partners/

本書ではお客様がSophos UTM on AWS を迅速に展開し、設定することを目的にしています。

2 概要Sophos UTM on AWS はAWS に簡単に展開して、NextGen Firewall、侵入防止システム

(IPS)、Web アプリケーションファイアウォール(WAF)、Web プロテクション、仮想プライベートネットワーク

(VPN) 接続などのセキュリティツールを提供することを目的にしています。UTM はAmazon ElasticCompute Cloud (EC2) インスタンスとして複数のAWS アヘイラヒリティソー゙ン (AZ)にまたがった展開が

可能、また、冗長構成 (HA) シナリオて展開ができ、さらに、Elastic Load Balancing (ELB) を使用したAuto Scaling 機能をサホー゚ト、トラフィックを複数のUTM に分散させることができます。

UTM は、統合された複数のセキュリティアプリケーションを使用して送受信トラフィックをスキャンし、マル

ウェア、脅威、異常状態を特定して保護を行います。すべてが1つに統合されるこのセキュリティ手法に

よって、複数のセキュリティ製品をインストールして個別に費用を支払って社内環境を保護するよりもコス

トを節減でき、導入も簡単になります。

l NextGen Firewall コントロール: AWS Security Group やNetwork Access Control Lists(NACL) などの機能を強化または置き換えます。

l Inline Network IPS: Sophos Labs によって自動的に更新されるシグネチャによってディープパ

ケットインスペクション機能を提供します。

l VPN ゲートウェイ機能: リモートのユーザーおよび場所に安全に接続します。

l 統合されたWAF: リバース認証に対応しています。

l 送信方向のWeb セキュリティコントロール: EC2 インスタンスおよびAmazon WorkSpaces から

の接続へのセキュリティ対策、保護、制御を行います。

UTM は、高度な専門知識がなくとも高度なセキュリティを利用できるように作られています。直感的に

簡単に利用できるように設計されており、UTM によってAWS 環境へのセキュリティ対策と保護を実行

するセキュリティツールを簡単に導入・利用できます。

3 展開モデル

3 展開モデルUTM を開始する前にAWS の展開方法を選択します。

Sophos UTM on AWS では次の3つの展開モデルに対応しています。

l スタンドアロン (耐障害性なし)

l HA (コールドおよびウォームスタンバイ) 対応のスタンドアロン

l 送受信方向のトラフィックへのAuto Scaling

3.1 スタンドアロンこのモデルでは、UTM は単一のアベイラビリティーゾーン (AZ) のEC2 インスタンス上に導入されます。通

常、お客様はすべてのトラフィックが境界ゲートウェイVirtual Private Cloud (VPC) としてのUTM に

送受信方向でルーティングされるように設定します。Sophos ではこの展開モデルは推奨していません。

3.2 HA (コールドおよびウォームスタンバイ) 対応のスタンドアロンこのモデルでは、UTM は単一のアベイラビリティゾーン (AZ) にあるプライマリEC2 インスタンスと、別の

AZ にあるセカンダリEC2 インスタンス上に展開されます。AWS CloudFormation、Amazon SimpleStorage Service (S3)、およびAuto Scaling インスタンスに対するHealth Checks 機能を使用し

て、UTM はAWS サービスを活用してプライマリEC2 インスタンスのステータスを判別します。プライマリ

EC2 インスタンスがヘルスチェックに失敗した場合、Auto Scaling グループはElastic IP Address と

S3 に保存されているすべての設定情報を別のAZ にあるセカンダリEC2 インスタンスに転送します。

コールドスタンバイ (セカンダリEC2 インスタンスは起動されていない状態) またはウォームスタンバイ (セカ

ンダリEC2 インスタンスはプライマリEC2 インスタンスを平行して実行されているがアクティブにトラフィック

の検査は行っていない状態) のいずれかを選択できます。

7 Sophos UTM on AWS

図1 HA 対応のスタンドアロン

3.3 Auto Scalingこのモデルでは、UTM は3つのEC2 インスタンスから導入されます。これは1つのUTM Controller とトラフィックに応じて追加や削除を行う2つのUTM Worker (Queen およびSwarm とも呼ばれます) です。UTM Controller はAuto Scaling グループ内に存在して、設定の詳細とログを保管し、S3 バ

ケットに報告を行います。UTM Controller は、EC2 インスタンスが終了した場合にS3 バケットを使用

して設定を保存し、同時に設定の詳細をUTM Worker に提供します。UTM Woker は別のAutoScaling グループに内で、通常は外部のElastic Load Balancing (ELB) Classic Load Balancerの背後にあって、すべての受信トラフィックを検査します。UTM Worker は、Amazon SimpleNotification Service (SNS) から設定変更の通知を受けたり、トラフィックの変化に応じて規模を縮

小する場合、起動時にS3 からUTM の設定を取得します。

また、Auto Scaling UTM は、お客様が送信接続に基づいてセキュリティを検査やスケーリングできる

Outbound Gateway (OGW) という追加のセキュリティレイヤーを提供します。OGW はVPC サブネット

(ローカルとリモートの両方) 内にゲートウェイインスタンスを配置することによって機能し、すべてのトラフィッ

クをGeneric Routing Encapsulation (GRE) 経由でUTM Worker に転送します。トラフィックを検

査した後、UTM Worker はVPC の外部にトラフィックを転送するか、設定したルールに従ってリクエスト

を拒否します。

Sophos UTM on AWS 8

3 展開モデル

3 展開モデル

図2 Auto Scaling

下記はお客様の必要に合致するUTM のデプロイモデルがどれであるかを決定するために役立つ決定ツ

リーの図表です。

図3 UTM の導入に関する決定ツリー

9 Sophos UTM on AWS

4 Amazon Machine ImageSophos UTM on AWS を導入する前に、UTM の課金方法と対応する利用可能な EC2 キーペアを

選択します。

4.1 PAYG とBYOL の比較UTM は従量課金 (PAYG) とライセンス持ち込み (BYOL) の両方の課金方法に対応しており、すべて

のAWS Marketplace リージョンで利用可能です。PAYG では、ソフトウェアライセンスなしでUTM を

導入して、AWS Marketplace に一覧されている価格表に基づく時間単位での支払いを行うことがで

きます。PAYG はAWS から直接管理され、使用料をお客様のAWS 月額請求に直接課金されま

す。また、PAYG はEssential Firewall、Network Protection、Web Protection、Web ServerProtection モジュールが有効に設定されている場合には事前に設定されています。異なるUTM モ

ジュールの詳細については、Sophos UTM概要をご覧ください。

BYOL では、事前にSophos パートナーから事前に1、2、または3年間のソフトウェアライセンスを購

入でき、EC2 インスタンスへの課金以外は時間単位の課金は発生しません。また、BYOL では、

PAYG では利用できないSandstorm モジュールに追加していずれのUTM モジュールを有効にするか

を選択できます (https://www.sophos.com/ja-jp/lp/sandstorm.aspx)。Sophos UTM onAWS のBYOL の購入の詳細に関しては、aws.marketplace@sophos.com までお問い合わせく

ださい。

次の表はAWS Marketplace の各 UTM 製品、対応展開モデル、および価格を一覧します。

製品名 対応展開モデル

SophosUTM (PAYG)

スタンドアロンUTM

HA (コールドおよびウォームスタンバイ) 対応のスタンドアロン

UTM

SophosUTM (BYOL)

スタンドアロンUTM

HA (コールドおよびウォームスタンバイ) 対応のスタンドアロン

UTM

SophosUTM (Auto Scaling

PAYG)Auto Scaling UTM

SophosUTM (Auto Scaling

BYOL)Auto Scaling UTM

4.2 EC2 キーペアSophos UTM on AWS を使用するには、EC2 キーペアを作成するか、既存のEC2 キーペアを使用す

る必要があります。http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html をご覧ください。

Sophos UTM on AWS 10

4 Amazon Machine Image

5 UTM サブスクリプション

5 UTM サブスクリプションSophos UTM on AWS に登録するには、次の手順に従います。

1. https://aws.amazon.com/marketplace/ に移動して、Sophos UTM を検索します。

2. 必要な展開モデル(Sophos UTM 9 vs. Sophos UTM 9 Auto Scaling) と価格 (PAYG vs.BYOL) に基づいて展開を行う製品を選択します。

3. 展開する「Region」を選択します。

4. 「Pricing Details」の下で、「delivery methods」を選択します。配信方法は、Sophos UTM on AWS の起動方法によって変わってきます。一般的にSophosUTM on AWS の配信には次の2つの方法があります。

l 単一のAMI

l CloudFormation Console

いずれかの形式または配信方法を完了すると、Sophos UTM on AWS に登録されます。

5.1 配信方法UTM では次の3つの配信方法に対応しています。

l 単一のAMI

l CloudFormation Console

l 手動の起動 (EC2 Console、API、またはCLI)

このクイックスタートガイドは、単一のAMI とCloudFormation コンソールの配信方法について説明し

ています。

注: EC2 コンソール内でのAWS Marketplace 製品の起動方法の詳細については、How do Ilaunch an AWS Marketplace product with the EC2 ? をご覧ください。

UTM の展開方法に従って、適切な選択肢に進んでください。

注 – Sophos UTM (Auto Scaling) に関する利用可能な唯一の配信方法はCloudFormation コ

ンソールです。

5.1.1 単一の AMI単一のAMI では、1-Click Launch に対応しており、単一のEC2 上にスタンドアロンUTM をインス

トールして、EC2 のインスタンスの種類、AMI バージョン (最新版を推奨)、VPC 設定、セキュリティグ

ループ、キーペアなどの設定を指定できます。Sophos は、お客様が導入に際して正しいEC2 インスタ

ンスを選択できるようにSophos UTM on AWS 概要および導入ガイドにEC2 サイジングガイドの情報

を提供しています。その他の設定に関しては、Amazon EC2 でソフトウェアを起動するをご覧ください。

11 Sophos UTM on AWS

1. 単一のAMI を選択して、「Continue」をクリックします。

2. 「1-Click Launch」メニューの下で以下を指定します。l Applicable Instance Type

l Version (最新のバージョンを推奨)

l Region

l VPC Settings

l Security Groups

l Key Pair

3. 「Accept Software Terms & Launch with 1-Click」をクリックします。次のページで、起動の設定の情報をまとめたSoftware Installation Details が表示されます。

ここからAWS コンソール内の「Manage」をクリックしてEC2 サービスの下でのSophos UTM の起

動状態を確認できます。インスタンスのステータスが実行中として表示された場合、

「Description」タブをクリックして、パブリック IP アドレスを参照します。

お客様のUTM に接続するパブリック IP アドレスをメモしておいてください (スタンドアロン設定の章を

参照)。「1-Click Launch」 を選択している場合、AWS Marketplace Product SupportConnection の章に進めます。

5.1.2 CloudFormation コンソール (スタンドアロン)CloudFormation コンソールによって、CloudFormation テンプレートを使用してお客様がSophosUTM を導入できるようにします。このテンプレートは、Elastic IP アドレス、信頼するCIDR (ClasslessInter-Domain Routing) ネットワーク、IAM (Identity and Access Management) ロールの定義な

どのワンクリック起動では使用できないオプションを提供しています。このセクションに一覧されている手順

に従って、Sophos CloudFormation テンプレートにアクセスするか、https://github.com/sophos-iaas/aws-cf-templates からの利用可能なすべてのテンプレートをダウンロードします。

CloudFormation コンソールを使用するには、以下の手順に従います。

1. Amazon Marketplace で、Sophos UTM の検索結果の1つをクリックして「Continue」をクリックします。

2. 提供手段として「CloudFormation Console」を選択します。

3. 「Version」(最新版を推奨) および「Region」を選択します。

4. 「Accept Software Terms」をクリックします。Software Terms を承諾すると、サブスクリプションの確認のためにメールが送信されたことを記載

した「Next Steps」を含むページが表示されます。

5. サブスクリプションが確認された場合、「Return to Product Page」をクリックして「Launch withCloudFormation Console」を選択します。CloudFormation Console にS3 テンプレートのURL が含まれた「Create stack」メニューが表

示されます。

6. 「Next」をクリックします。

7. CloudFormation テンプレートのパラメータ値を入力します。

Sophos UTM on AWS 12

5 UTM サブスクリプション

5 UTM サブスクリプション

スタックの詳細

Stack name: CloudFormation スタックを説明する固有の名前。

VM Configuration

l UTM のAMI: 最新のAMI へのautodetect に設定します。

l UTM Instance size: UTM に対するEC2 のインスタンスの種類を選択します。デフォルトの

EC2 インスタンスの種類はお客様のリージョンによってm3.medium またはc4.large に設

定されます。

UTM Infrastructure Configuration

l VPC ID: UTM をインストールするVPC を選択します。

l Private Subnet ID: UTM をインストールするVPC のプライベートサブネットを選択します。

l Public Subnet ID: UTM をインストールするVPC のパブリックサブネットを選択します。

l Private Network CIDR: お客様のVPC プライベートサブネットのCIDR (Classless Inter-Domain Routing) アドレス。

l Public Network CIDR:: お客様のVPC パブリックサブネットのCIDR (Classless Inter-Domain Routing) アドレス。

l Existing Elastic IP ID: UTM に使用する既存のElastic IP アドレスがある場合、そのアド

レスを入力できます。

Access Permissions

l SSH Key: SSH アクセスのためのEC2 キーペア。

l Trusted Network CIDR (optional): このネットワークからのすべてのトラフィックを許可しま

す。

Tags (オプション)

l Key: タグは、コスト配分など、スタックを識別する目的で使用できる任意のキー。

l Value: キーに対する任意の値。

Permissions (オプション)IAM Role: CloudFormation が想定できる既存のIAM サービスロール。

Advanced (オプション)

注 – Advanced のオプションの詳細については、http://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html

8. 「Next」をクリックします。

9. 「Review」ページでパラメータに対する値を確認して、「Create」をクリックします。これによってCloudFormation 管理コンソールでCloudFormation スタック作成のステータスとイベントを確認できます。

CREATE_COMPLETE のステータスが表示されたら、AWS Management Console で「Services >EC > Instances」の順に選択して、UTM が新しく作成されたEC2 インスタンス上に導入されていること

を確認します。EC2 インスタンスと「Description」タブを選択してパブリック IP アドレスを参照します。お

13 Sophos UTM on AWS

客様のUTM に接続するパブリック IP アドレスをメモしておいてください (スタンドアロン設定の章を参

照)。UTM (スタンドアロン) にCloudFormation コンソールを選択している場合、AWSMarketplace Product Support Connection の章に進めます。

5.1.3 CloudFormation コンソール (Auto Scaling)CloudFormation コンソールは、Sophos の作成したCloudFormation テンプレートを使用してお客

様がSophos UTM を導入できるようにします。このテンプレートでは、ELB、CloudWatch、AutoScaling、S3 などの異なるAWS リソースを使用してSophos UTM の導入と管理を行います。このセ

クションに一覧されている手順に従って、CloudFormation テンプレートにアクセスするか、

https://github.com/sophos-iaas/aws-cf-templates からのテンプレートをダウンロードします。

CloudFormation コンソールを使用するには、以下の手順に従います。

1. Amazon Marketplace で、Sophos UTM (Auto Scaling) の検索結果の1つをクリックして

「Continue」をクリックします。

2. 提供手段として「CloudFormation Console」を選択します。

3. 「Version」(最新版を推奨) および「Region」を選択します。

4. 「Accept Software Terms」をクリックします。Software Terms を承諾すると、サブスクリプションの確認のためにメールが送信されたことを記載

した「Next Steps」を含むページが表示されます。

5. サブスクリプションが確認された場合、「Return to Product Page」をクリックして「Launch withCloudFormation Console」を選択します。CloudFormation Console にS3 テンプレートのURL が含まれた「Create stack」メニューが表

示されます。

6. 「Next」をクリックします。

7. CloudFormation テンプレートのパラメータ値を入力します。スタックの詳細

Stack name: CloudFormation スタックを説明する固有の名前。

Parameters

l awsAMI: 最新のAMI へのautodetect に設定します。

l awsAvailabilityZone1: UTM Controller と最初のUTM Worker に対するAZ を選択し

ます。

l awsAvailabilityZone2: 2番目のUTM Worker に対するAZ を選択します。

l awsKeyName: SSH アクセスのためのEC2 キーペア。

l awsNetworkPrefix: PAYG またはBYOL のいずれかを選択します。

l awsTrustedNetwork: これらのポートでお客様のVPC にアクセスできるネットワークを指定

します (SSH およびポート 8080 へのアクセスには信頼するネットワークのみを設定することを

お勧めします)。

l basicAdminEmail: UTM とSNS の通知を受信するメールアドレス(この情報はSophosには送信されません)。

Sophos UTM on AWS 14

5 UTM サブスクリプション

5 UTM サブスクリプション

l basicAdminPassword: UTM WebGUI にアクセスするために使用される管理アカウントの

パスワード (この情報はSophos には送信されません)。

l basicCity: 自己署名認証局の設定に使用されます (この情報はSophos には送信されま

せん)。

l basicCountry: 自己署名認証局の設定に使用されます (この情報はSophos には送信さ

れません)。

l basicHostname: 自己署名認証局の設定に使用されます (この情報はSophos には送

信されません)。

l optionalExistingElasticIP: Elastic IP address assigned to UTM に割り当てられる

Elastic IP (空白にした場合、新しいElastic IP が自動的に割り当てられます)。

l optionalExistingS3Bucket: バックアップを保存および復元するためのS3 バケット (空白

にした場合、新しいElastic IP が自動的に割り当てられます)。

l optionalLicensePool: UTM ライセンスが保存されているS3 バケット (BYOL にのみ適用

可能)。

Tags (オプション)

l Key: タグは、コスト配分など、スタックを識別する目的で使用できる任意のキー。

l Value: キーに対する任意の値。

Permissions (オプション)IAM Role: CloudFormation が想定できる既存のIAM サービスロール。

Advanced (オプション)

注 – Advanced のオプションの詳細については、http://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html

8. 「Next」をクリックします。

9. 「Review」ページでパラメータに対する値を確認します。これによってCloudFormation 管理コンソールでCloudFormation スタック作成のステータスとイベントを確認できます。スタック作成にかかる時間は、状況によって異なるますが、通常は完了する

のに約 6～10分かかります。ステータスがCREATE_COMPLETE になると、「Outputs」タブで情

報を確認できるようになります。

10. 「Capabilities」の下で「I acknowledge that AWS CloudFormation might create IAMresources」を選択して「Create」をクリックします。

5.1.4 CloudFormation Outputsこのセクションには、CloudFormation テンプレートによって作成されたリソースに関する情報が含まれま

す。

l PublicIPAddress:UTM Controller (Queen) に割り当てられるElastic IP アドレス(EIP) で、

VPN 接続やインバウンド NAT に使用できます。

15 Sophos UTM on AWS

l QueenScalingGroup: UTM Controller 用のAuto Scaling グループ。

l S3Bucket: ライセンス、ログ、レポートの保存とUTM Worker 設定の同期に使用されるS3 バ

ケット。

l ConfigurationSNSTopic: UTM Worker に設定変更を通知するSNS トピック。

l SwarmScalingGroup: UTM Worker 向けのAuto Scaling グループ (2 Worker のデフォルト

設定)。

l VPCID: Auto Scaling グループに使用されるVPC ID。

l Region: UTM 用のAWS リージョン。

l ELB: Web トラフィック用のパブリックELB ロードバランサ(UTM WAF 設定が適用されるまで

ELB は機能しません。DNS A のレコード名はEC2 Load Balancers の説明の下に表示されま

す)。

5.1.5 CloudFormation Resourcesこのセクションには、作成されたすべてのAWS リソースの一覧が表示されます。Worker CloudWatchAlarms、Auto Scaling ポリシー、セキュリティグループ、Network Access Control Lists (NACL)などのリソース名をメモしておいてください。お客様のVPC にレイヤーを追加する際にこの情報が必要に

なります。

5.2 AWS Marketplace Product SupportConnectionSophos UTM on AWS に登録すると、Sophos のテクニカルサポートを利用できるようになります。

Sophos ではPAYG の課金方法を選択したすべてのお客様にプレミアムサポートを提供しています。プ

レミアムサポートでは、Sophos のサポートエンジニアによるテクニカルサポートを受けることができます。こ

のサポートを受けるには、お客様の製品をAWS Marketplace Product Support Connection(https://aws.amazon.com/marketplace/support-contacts) に登録する必要があります。

プレミアムサポートの特典に加えてEnhanced Plus という別レベルのサポートを購入することもできま

す。このサポートレベルは、Sophos UTM BYOL を導入していながら、優先的なケース処理と上級リ

ソースへのVIP アクセスを提供しているお客様のみが利用可能です。詳細については、

aws.marketplace@sophos.com までお問い合わせください。

注 – Sophos のサポートレベルに関する詳細については、https://www.sophos.com/ja-jp/medialibrary/PDFs/Support/Sophos-Support-Plans.pdf をご覧ください。

Sophos UTM on AWS 16

5 UTM サブスクリプション

6 スタンドアロン設定

6 スタンドアロン設定以下のセクションでは、Sophos UTM への接続やライセンスなどの必須トピックや異なる導入方法などの

オプションのトピックについても説明しています。Sophos UTM の起動方法に従って、適切な選択肢に

進んでください。

6.1 Sophos UTM への接続 (単一のAMI)UTM のインストールに成功すると、Web ブラウザ、EIP、ポート番号 4444 のhttps://elastic_ip_address:4444/ などを使用してWebGui にアクセスできます。

1. Sophos UTM に接続します。最初に接続した際に、自己署名証明書が原因でブラウザに警告が表示されます。

2. 続行してサイトにアクセスできるオプションをクリックします。これによってSophos UTM ログインページが表示されます。

図4 Sophos UTM ログイン

3. 基本的なシステム情報を入力します。l ホスト名

l 会社名

l 市町村区

l 国名、など

17 Sophos UTM on AWS

注: ユーザー名とパスワードでは共に大文字と小文字が区別され、UTM はデフォルトで3回ログイ

ン入力に失敗するとそれ以降のアクセスをブロックします。この保護機能によってアクセスがブロック

されたと考えられる場合、10分間経過するのを待った後に再度アクセスを試みてください。

注: スタック作成時にパスワードフィールドに入力を行う場合には英数字のみを使用するようにし

てください。パスワードをより複雑にする必要がある場合はSophos UTM にログインした後に

Web コンソールから変更してください。

6.2 Sophos UTM への接続 (CloudFormation コンソール)CloudFormation スタックを作成後、テンプレートに入力したElastic IP アドレスを使用してSophosUTM に接続します。このIP アドレスを忘れた場合、CloudFormation Outputs セクションで確認でき

ます。Web ブラウザ、EIP、ポート番号 4444 のhttps://elastic_ip_address:4444/ などを使用し

てWebGui にアクセスできます。ホスト名、会社名、所在地などの基本的なシステム情報を入力する

必要があります。

注: ユーザー名とパスワードでは共に大文字と小文字が区別され、UTM はデフォルトで3回ログイン入

力に失敗するとそれ以降のアクセスをブロックします。この保護機能によってアクセスがブロックされたと考

えられる場合、10分間経過するのを待った後に再度アクセスを試みてください。

注: スタック作成時にパスワードフィールドに入力を行う場合には英数字のみを使用するようにしてくだ

さい。パスワードをより複雑にする必要がある場合はSophos UTM にログインした後にWeb コンソー

ルから変更してください。

6.3 Sophos UTM のライセンス取得PAYG を選択している場合、ライセンスは既にAMI にバンドルされているためSophos UTM のライセン

スを取得する必要はありません。また、Sophos UTM(Auto Scaling) の30日間無償評価版を利用

して購入前に展開をテストできます。

注: PAYG 無償評価版は試用期間が終了すると自動的に有償サブスクリプションへ切り替わります。

Sophos UTM のBYOL バージョンを使用している場合、無償評価期間と実運用時にUTM サブスクリ

プションのロックを解除するライセンスファイルが必要になります。起動処理時に読み込まれるBYOL ライ

センスファイルをS3 バケットに保存する必要があります。無償評価期間が終了した際には、実運用覧

センスを「マネジメント > ライセンス> インストール」のセクションにアップロードでき、ライセンスがアップロード

されると「マネジメント > ライセンス> 概要」タブに詳細が表示されます。

BYOL の詳細については、aws.marketplace@sophos.com までお問い合わせください。

Sophos UTM on AWS 18

6 スタンドアロン設定

6 スタンドアロン設定

図5 Sophos UTM 「ライセンス」タブ

6.4 Configure HA (オプション)スタンドアロン版 UTM を設定してライセンスを取得 (該当する場合) した場合、HA (コールドおよびウォームスタンバイ) 対応のスタンドアロンの章で説明されているようにシステムに冗長構成 (HA) に設定

できます。この処理では、スタンドアロン版 UTM をHA (コールドまたはウォームスタンバイ) に変換する変

換ユーティリティの実行が必要になります。

AWS Marketplace に公開されている最新のUTM リリースによって変わってきますが、お客様のバー

ジョンの変換ユーティリティに対応しているAmazon Machine Image (AMI) が存在しない場合があり

ます。その場合、ユーザーインターフェースは、最新のリリースが公開された後の数日後に再度確認する

ようにメッセージを表示します。

変換処理を進める前に、有効な AWS アクセスキー ID とAWS シークレットアクセスキーが必要になりま

す。AWS IAM モジュールを使用してAWS キーが作成されます。IAM ユーザー向けのアクセスキーを管

理するに一覧されている手順に従ってAWS アクセスキー ID およびAWS シークレットアクセスキーを作

成します。

アクセスキー ID とシークレットアクセスキーを作成した後、変換のためのHA 展開モデルを選択します。

変換機能は2つのHA モデルに対応しています。

l HA (コールドスタンバイ) – アクティブ/ パッシブ– この導入シナリオにおいてSophos UTM は、

UTM をホストする現在のEC2 インスタンスがヘルスチェックで失敗した場合にはEC2 インスタンス

を自動的に開始して設定を転送するような Auto Scaling グループに置かれます。

l HA (ウォームスタンバイ) – アクティブ/ パッシブ– この導入シナリオにおいてSophos UTM は、

UTM をホストする現在のEC2 インスタンスがヘルスチェックで失敗した場合には設定を実行中の

EC2 インスタンスに転送するような Auto Scaling グループに置かれます。

変換処理を開始するには、以下の手順に従います。

19 Sophos UTM on AWS

1. Sophos UTM WebAdmin ダッシュボードに移動して、「マネジメント > HA/オートスケーリング」の順に選択します。

図6 変換ユーティリティ

2. 「AWS アクセスキー ID」および「AWS シークレットキー」を入力します。

3. 「Amazon 展開タイプ」を選択します。

4. 「変換事前チェック」をクリックします。これによってSophos UTM に対する変換処理が開始されます。変換機能は、CloudFormationテンプレートを使用してスタンドアロン版 Sophos UTM をHA (ウォームまたはコールドスタンバイ) に変換します。この変換処理ではいくつかのサービスの開始と停止が行われるため、変換ユーティリ

ティはメンテナンス業務中に実行することをお勧めします。

「変換事前チェック」の画面がハイライト表示されます。

l Sophos UTM インスタンスの展開に使用される現在のEC2 キーペア

l 現在のEIP (利用可能な場合)

l 単一 / スタンドアロンUTM に対するVPC

l 現在のUTM のライセンスモデル(PAYG またはBYOL)

l お客様の展開モデル向けのVPC サブネット (HA ソリューション向けに2つ)

l Sophos UTM EC2 インスタンスの現在のセキュリティグループ

Sophos UTM on AWS 20

6 スタンドアロン設定

6 スタンドアロン設定

l 設定、ログ、データベースファイルの現在のサイズ

l お客様の展開モデル向けのAZ (HA には2つのAZ が必要)

l CloudFormation Stack 名

l オプション– (デフォルト) UTM スタンドアロンインスタンスから新しいインストールにログファイル

をコピーします。

l オプション– (デフォルト) UTM スタンドアロンインスタンスから新しいインストールにロデータベー

スをコピーします。

l オプション– (非デフォルト) 変換処理が完了後、UTMスタンドアロンを終了します。

5. 「変換」をクリックして変換処理を開始します。変換処理によって必要な AWS のリソースが作成され、お客様の選択によるSophos 展開モデル

をサポートします。追加のリソースには、新しい展開モデルをサポートする、VPC サブネット、セキュリ

ティグループ、Auto Scaling グループ、CloudWatch メトリックが含まれます。CloudFormation管理コンソールで、変換機能のステータス結果とCloudFormation のスタックイベントで変換のス

テータスを確認できます。

変換機能を実行後、3つのメニューで完了ステータスを確認できます。

l Sophos UTM 変換結果

l AWS EC2 インスタンスステータス

l VPC サブネット

以下の図はHA (ウォームスタンバイ) 変換の完了ステータスを示しています。

21 Sophos UTM on AWS

図7 変換ユーティリティの結果

EC2 インスタンスメニューは、以前のスタンドアロンのインスタンスに置き換わる2つの新しいEC2 インス

タンスを表示します。

図8 UTM HA をホストする新しいEC2 インスタンス

Sophos UTM on AWS 22

6 スタンドアロン設定

7 Auto Scaling 設定

7 Auto Scaling 設定Auto Scaling の主な使用目的は、Sophos UTM Web サーバープロテクション機能のセットを使用し

て受信方向のWeb Application Firewall (WAF) セキュリティをサポートすることです。この機能セット

は、リバースプロキシ機能とWAF 保護機能を組み合わせ、2つのELB ロードバランサ(外部および内

部) を必要とします。次のセクションでは、ユーザーがSophos UTM への接続を行い、Sophos UTM の

ライセンスを設定し、Web アプリケーションをホストするEC2 インスタンス用に使用される内部のロードバ

ランサを作成します。

7.1 Sophos UTM への接続 (Auto Scaling)Auto Scale UTM スタックが正常に作成された場合、お客様のEC2 インスタンスのセクションには3つのUTM が表示されます。

l “Queen” とラべリンングされた1つのSophos UTM インスタンス

l “Worker” とラべリンングされた2つのSophos UTM インスタンス

ソリューションでは、すべての設定と管理はQueen UTM 経由で実行され、すべての設定をS3 に保存

し、syslog プロトコル経由ですべてのログ情報を収集します。

管理のために使用されるQueen Elastic IP は、CloudFormation Outputs セクションに表示される

Sophos UTM パブリック IP と一致する必要があります。Sophos UTM インスタンスの作成は、通常、

CloudFormation Stack の作成後、遅れて実行され、インスタンスが完全に起動されるまで、EIP は

Queen UTM に追加されません。

注 – 各UTM Worker はパブリック IP を持ち、これはUTM への接続に使用できます。Worker UTM上で実行されたすべての変更はQueen 設定によって上書きされ、他のWorker には同期されませ

ん。

7.2 Sophos UTM のライセンス取得PAYG を選択している場合、ライセンスは既にAMI にバンドルされているためSophos UTM のライセン

スを取得する必要はありません。また、Sophos UTM(Auto Scaling) の30日間無償評価版を利用

して購入前に展開をテストできます。

注: PAYG 無償評価版は試用期間が終了すると自動的に有償サブスクリプションへ切り替わります。

Sophos UTM のBYOL バージョンを使用している場合、無償評価期間と実運用時にUTM サブスクリ

プションのロックを解除するライセンスファイルが必要になります。起動処理時に読み込まれるBYOL ライ

センスファイルをS3 バケットに保存する必要があります。無償評価期間が終了した際には、実運用覧

センスを「マネジメント > ライセンス> インストール」のセクションにアップロードでき、ライセンスがアップロード

されると「マネジメント > ライセンス> 概要」タブに詳細が表示されます。

BYOL の詳細については、aws.marketplace@sophos.com までお問い合わせください。

23 Sophos UTM on AWS

図9 Sophos UTM 「ライセンス」タブ

7.3 内部ロードバランサの作成内部 ELB を作成するには、次の手順に従います。

1. 「Load Balancers」の下のAWS EC2 の領域で「Create Load Balancer」をクリックします。「Define Load Balancer」ページが開きます。

2. 以下の設定を行います。l Load Balancer Name: 分かりやすい名前を入力します。

l Create LB inside: インストール先のVPC を選択します。

3. Create an internal load balancer: これを選択して内部 ELB を作成するように指定されてい

るかどうか確認します。

4. Enable advanced VPC configuration: サブネットを選択する必要がある場合にこのオプションを

選択します。

l Listener Configuration: HTTP を使用するデフォルトのリスナー設定は、ここでのテストに

は十分な内容ですが必要に応じて変更可能です。

l Select Subnets: 前のセクションで作成したプライベートのサブネットを選択します。

3. 「Next: Assign Security Groups」をクリックします。「Assign Security Groups」ページが開かれます。

4. デイフォルトの「VPC security Group」を選択します。

5. 「Next: Configure Security Settings」をクリックします。

注: 現時点ではお客様のロードバランサが安全なリスナーを使用していないと通知されます。

Sophos UTM on AWS 24

7 Auto Scaling 設定

7 Auto Scaling 設定

6. 「Next: Configure Health Check」をクリックします。この例ではデフォルトのHealth Check を変更してPing Protocol がTCP を使用するようにしま

す。

7. 「Next: Add EC2 Instances」をクリックします。

8. 内部のロードバランサを使用する適切な EC2 インスタンスを追加します。

9. 「Next: Add Tags」をクリックします。

10. タグを追加して「Review and Create」をクリックして続行します。

11. 設定を確認して「Create」をクリックします。

ロードバランサが作成され、ロードバランサの一覧に表示されます。

7.4 UTM WAF の設定内部ロードバランサを設定したので、UTM Web Server Protection モジュールがHTTP トラフィックを

待機するようにし、検索を実行後にトラフィックを内部 ELB に送信して配布するように設定できます。

これを実行するには以下の手順に従います。

1. Controller UTM にログインし、「Web サーバプロテクション> WAF」に移動します。

2. 「新規仮想 Web サーバー」をクリックして以下の設定を行います。

l 名前: 分かりやすい名前を入力します。

l インタフェース: トラフィックの宛先のSophos UTM インターフェースを選択し、「種類」および

「ポート」をHTTP と80 に設定します。

l ドメイン: スタックの作成時に作成したパブリックELB に割り当てたDNS 名を入力します。こ

れはテストで使用するURL です。

注 – これはLoad Balancers 一覧のAWS EC2 のセクションにあります。このセクションに

多数のELB が一覧されている場合、のセクションで説明されているように

CloudFormation Resources セクションから名前を取得して正確な名前を確認できま

す。「Description」タブをクリックして、表示されている完全な DNS 名をコピーします。

l リアルWeb サーバー: 作成した内部 ELB を一覧表示し、トラフィックのスキャン後のトラフィッ

クの送信先が示されます。この内部 ELB に対する新しいDNS オブジェクトを作成するに

は、「リアルWeb サーバー」のテキストの横にある緑色の「+」アイコンをクリックします。リアル

Web サーバーに分かりやすい名前を入力し、ホストフィールドの横にある緑色の「+」アイコンをクリックして実際のDNS ホストオブジェクトを作成します。内部 ELB DNS 名を「ホスト名」

フィールドにコピーし、この新しいネットワーク定義に対して分かりやすい名前を入力します。

25 Sophos UTM on AWS

図10 Sophos UTM での仮想 Web サーバー設定

l ファイアウォールプロファイル: 「Basic Protection」ファイアウォールプロファイルを選択します。

3. 「保存」をクリックします。

4. トグルスイッチをクリックして、新しい仮想 Web サーバーを有効にします。トグルスイッチが緑色に変わります。

注- “リアルWeb サーバー” のテキストの右側に作成した新しい内部 ELB DNS オブジェクトのス

テータスが表示されます。下記に表示しているようにしばらくすると緑色に変わります。チェックが行

われない場合は、お客様のSophos UTM の設定が使用されているDNS 名を解決できていま

せん。

7.5 Outbound Gateway for AWSSophos UTM on AWS はインバウンドのWeb アプリケーショントラフィックとアウトバウンドのWeb コンテ

ンツフィルタリングを自動的にスケーリングするように設計されたソリューションです。このソリューションは、

AWS サービスで機能するいくつかのロール(Queen & Worker) を持つ複数のUTM から構成されま

す。ソリューションは1つのAWS リージョン内のAWS アベイラビリティゾーンで機能し、インターネットに接

続したElastic Load Balancer と連係するように設計されています。Elastic Load Balancer はトラ

フィックをトラフィックスキャンのためにUTM のWorker に送ります。ソリューションを使用するには、

AWS Marketplace からUTM に登録する必要があります。

OGW (Outbound Gateway) は、AWS のセットアップでUTM のAuto Scaling グループがゲートウェ

イによって負荷分散されます。UTM にゲートウェイを加えた設定全体がOutbound Gateway と呼ば

れます。OGW は送信方向のロードバランサとして機能します。

Sophos UTM on AWS 26

7 Auto Scaling 設定

7 Auto Scaling 設定

OGW の導入には2つの主な目的があり、第一には送信方向のトラフィックの負荷の増大を処理するた

めにUTM のスケーリングを行い、第二には、場合によってインターネットゲートウェイのないVPC 内に存

在するインスタンスに対する通信パスを確立するという目的があります。

OGW の使用例には以下があります。

l インターネットへのVDI アクセス(例: AWS Workspaces) (メインの使用例)

l サーバーインスタンスのインターネットへのアクセス(Web アクセスを含む)

図11 OGW: 概念

OGW 導入の高度なアーキテクチャは以下に表示されています。VPC による一般的な導入形態は、設

定の実行される1つのController と2つのWorker (アベイラビリティゾーンごとに1つずつ) から成る、3つのUTM インスタンスで構成されます。Controller とWorker は共にAuto Scaling グループに含ま

れ、1つのUTM が機能しなくなった場合には代替のUTM が起動され、高負荷の状況ではWorker がスケーリングも行います。UTM に加えて、各 VPC 内に展開されるゲートウェイインスタンスがあります。

VPC ごとにこれらが最低 2つあり、個別のサブネットに導入され、フェイルオーバーメカニズムによって冗長

構成を提供します。外部のトラフィックルーティングを活用するために、これらのインスタンスはGRE(Generic Routing Encapsulating) トンネル(ゲートウェイの導入時に確立) と経由してUTMWorker に接続します。

27 Sophos UTM on AWS

図12 概要

機能を使用するには、UTM でAWS 向けにOutbound Gateway を展開する必要があります。これは

次の方法で実行できます。

l Resource Manager 経由: UTM はCloudFormation スタックを自動的に展開します。

l 手動: CloudFormation テンプレートを使用してゲートウェイを手動で展開します。

どちらの方法も CloudFormation テンプレートを活用します。

注 – オブジェクトの作成時に方法を決定する必要があります。後では変更できません。

7.5.1 Resource Manager 経由でのゲートウェイの展開UTM 管理のロードバランサをResource Manager から展開するには、次の手順に従います。

Sophos UTM on AWS 28

7 Auto Scaling 設定

7 Auto Scaling 設定

1. UTM で「Network Protection > Outbound Gateway for AWS」の順に選択します。

図13 Outbound Gateway for AWS

2. 「New Outbound Gateway」をクリックします。

「Add Outbound Gateway」ダイアログボックスが、「Resource Manager」のチェックボックスが選

択された状態で開かれます。

注 – Resource Manager の使用方法はゲートウェイを作成後には変更できません。

3. 以下の設定を行います。Failover Group: 代替のロードバランサグループを定義します。

注 – ファイルオーバーグループの詳細については、代替のシナリオをご覧ください。

Group Name (「New Failover Group」が選択されている場合): 新しいグループの名前を入力し

ます。

Position: 要求された場合、ゲートウェイの優先度を定義して位置番号を変更します。

AWS Subnet ID: ゲートウェイが導入される、新しい空のAWS サブネットのID。

注 – 既存のクライアントサブネットや既に使用されているサブネットは使用しないでください。

Networks: 同じアベイラビリティゾーンにあるクライアントサブネット用のネットワークオブジェクトを挿

入します。

コメント( オプション) ：説明などの情報を追加します。

29 Sophos UTM on AWS

図14 OGW の追加

4. 次の詳細設定を行います。Gateway Network Prefix: 表示されているプレフィックスが既に使用されている場合には変更し

ます。

Sophos UTM on AWS 30

7 Auto Scaling 設定

7 Auto Scaling 設定

図15 Add Network Gateway Prefix

5. 「Save」をクリックします。ゲートウェイは保存され、リストに表示されます。

6. 他の2つのサブネットのデータを使用して2番目のゲートウェイに対して同様の手順を繰り返しま

す。

CloudFormation が、スタックの作成が完了したことを報告した場合にのみ、オブジェクトを有効に設定

できます。

注 – 手動の展開を自動の展開に変更するような何らかの変更を行う場合には、OutboundGateway を削除してから新しく作成してください。

7.5.2 フェイルオーバーシナリオ以下のような使用可能ないくつかのフェイルオーバーシナリオがあります。

l HA シナリオHA シナリオではすべてのロードバランサに対して代替を行います。

l アクティブ-アクティブシナリオこのシナリオではロードバランサが相互に代替を行います。

31 Sophos UTM on AWS

l 2 つのアクティブ、1つの代替このシナリオでは2つのアクティブなロードバランサがあり、1つが両方の代替を行います。

いずれの場合にも順番よりもネットワークの数がより重要になります。

例 1:

このシナリオでは、ネットワークA は別にインスタンスに割り当てられていないため、X に障害が生じた場

合にはY がその代替となります。Z がパッシブのスタンバイとして機能します。X とY に障害が生じるとZが代替となります。

インスタンス 順番 ネットワーク

インスタンスX 1 A

インスタンスY 2 B

インスタンスZ 3

例 2:

このシナリオでは、両方のネットワークがZ に割り当てられているため、Z がX とY の代替となります。

インスタンス 順番 ネットワーク

インスタンスX 1 A

インスタンスY 2 B

インスタンスZ 3 A、B

Sophos UTM on AWS 32

7 Auto Scaling 設定

8 Sophos UTM の使用の停止 (オプション)

8 Sophos UTM の使用の停止 (オプション)お客様の環境でSophos UTM の使用を停止する必要がある場合、インスタンス(スタンドアロン) を終了するか、CloudFormation スタック (その他すべてのSophos UTM) を削除できます。

8.1 インスタンスの終了インスタンスを終了する前に、終了時にお客様のAmazon EBS ボリュームが削除されず、インスタンス

の保存ボリュームから必要なすべてのデータをAmazon EBS またはAmazon S3 にコピーしていること

を確認して何のデータを失うことがないことを確認してください。

インスタンスを終了するには、次の手順に従ってください。

1. Amazon EC2 コンソールをhttps://console.aws.amazon.com/ec2/ で開きます。

2. ナビゲーションペインで「Instances」を選択します。

3. インスタンスを選択して、「Actions」を選択します。

4. 「Instance State」を選択し、「Terminate」を選択します。

5. 確認のメッセージが表示された場合、「Yes, Terminate」を選択します。

8.2 CloudFormation スタックの削除インスタンスを終了する前に、Amazon EBS ボリュームが終了時に削除されず、AWSCloudFormation コンソールのスタックの一覧からコピーを行っていることを確認してから、削除する必要

のあるスタックを選択します (現在実行されている必要があります)。

スタックを削除するには、以下の手順に従います。

1. スタック上でクリックし、右クリックメニューまたは「Actions」のドロップダウンメニューから「DeleteStack」を選択します。削除を確認するメッセージが表示されます。

2. 「Yes, Delete」をクリックします。

注: スタックの削除が開始されると、中断できません。スタックはDELETE_IN_PROGRESS の状

態に進みます。

スタックの削除が完了すると、スタックはDELETE_COMPLETE の状態になります。デフォルトでは、

DELETE_COMPLETE の状態のスタックはAWS CloudFormation コンソールに表示されません。削

除されたスタックを表示するには、CloudFormation ユーザーガイドの削除済みのスタックに説明されて

いるようにスタックの表示設定を変更する必要があります。

33 Sophos UTM on AWS

削除に失敗した場合、スタックはDELETE_FAILED の状態になります。解決策については、

CloudFormation ユーザーガイドのトラブルシューティングトピックのスタックの削除の失敗をご覧くださ

い。

Sophos UTM on AWS 34

8 Sophos UTM の使用の停止 (オプション)

9 Sophos AWS 情報

9 Sophos AWS 情報Sophos AWS 関連ページ: http://www.sophos.com/aws

その他のリンク:

EC2

リセラープログラム

VPC

35 Sophos UTM on AWS

用語集

A

Amazon WorkSpaces

AWSクラウド上のデスクトップコンピューティングサービス。クラウドベースの仮想デスクトップのプロビジョンニングを可能にします。

AMI

Amazon Machine Image

API

Application Programming Interface

APN

AWS Partner Network

Auto Scaling

ポリシー、スケジュール、ヘルスチェックに基づいて自動的にAmazon EC2インスタンスの起動や終了を行うWebサービス。

Availability Zones

Amazonの各データセンターの場所はリージョンと呼ばれ、各リージョンにはアベイラビリティゾーン、またはAZと呼ばれる個別に分かれた複数の場所が含まれる。

AWS

Amazon Web Services

AWS CloudFormation

AWSカスタマー向けの無償サービスで、AWS上での特定のソフトウェアアプリケーションの実行が必要になるインフラの作成と管理に必要なツールを提供。

AWS Partner Network

パートナーのAWSベースのビジネス構築を支援するAmazonWeb Services (AWS)向けのグローバルパートナープログラム。

AZ

Availability Zone

B

BYOL

Bring Your Own License

C

CIDR

Classless Inter-Domain Routing

Classless Inter-Domain Routing

ネットワークと個別のデバイスに対して固有の IDを作成する IP標準のセット。

CLI

Command Line Interface

CloudFormation Console

CloudFormationサービスのユーザーインターフェース。

CloudWatch

AWS リソースの監視を提供機能とAmazonインフラストラクチャ上で実行するアプリケーションを提供するAmazonWebServicesのコンポーネント。

E

EBS

Elastic Block Store

EC2

Elastic Compute Cloud

EC2 Instance

Amazon EC2サービスのコンピューティングインスタンス。

EIP

Elastic IP

Elastic Compute Cloud

Amazon EC2はユーザーが仮想コンピュータを借りて、自分のコンピュータアプリケーションを利用できるようにするようなAWS

用語集

でのスケーラブルなコンピューティング機能を提供。

Elastic IP

アカウントに関連付けられた、動的なクラウドコンピューティングのためのスタティック IPアドレス。明示的に解放するまで、そのアドレスを制御します。

Elastic Load Balancing

受信方向のアプリケーショントラフィックを複数の宛先に自動的にスケーリングする負荷分散ソリューション。

ELB

Elastic Load Balancing

G

Generic Routing Encapsulation

別のパブリックネットワーク経由でパケットを転送するプライベートの安全なパスを提供するトンネルプロトコル。

GRE

Generic Routing Encapsulation

H

HA

High Availability

High Availability

信頼できるレベルの運用継続性を確実に保証するためのシステム設計プロトコル。

I

IAM

AWS Identity and AccessManagement

Identity and AccessManagement

AWSのリソースを利用するユーザーと利用方法を制御するAmazonWebサービス。

Intrusion Prevention System

ネットワークトラフィックフローを確認して脆弱性の検出と阻止を行うネットワークセキュリティと脅威阻止のテクノロジー。

N

Network AccessControl List

ファイアウォールとして機能しサブネットへ送受信トラフィックを制御するセキュリティレイヤー。

O

OGW

Outbound Gateway

P

PAYG

Pay AsYou Go (従量課金)

S

S3

Simple Storage Solution

S3バケット

データとデータを説明するメタデータからなるオブジェクトを保管する論理ユニット。

Security Group

AWSインスタンス向けの仮想ファイアウォールとして送受信方向のトラフィックを制御。

Simple Notification Service

主にモバイルユーザー向けに大量のメッセージの配信を行う通知サービス。

Simple Storage Service

Webサービスインターフェースからストレージを提供するAmazonのWebサービス。

37 Sophos UTM on AWS

SNS

Simple Notification Service

SSH

Secure Shell

V

Virtual Private Cloud

VPCは民間企業とパブリッククラウドストレージサービスとの安全なデータ転送を提供。各データは転送中もクラウドサービスのネットワーク内でも他のデータから隔離される。

Virtual Private Network (VPN)

公衆通信インフラを利用するプライベートデータネットワーク。PPTPや IPSecなどのトンネリングプロトコルを使用してプライバシーを維持。

VPC

Virtual Private Cloud

W

WAF

Web Application Firewall

Web Application Firewall

リバースプロキシとしても知られるWAFは、HTTP通信に対して一連のルールを適用し、クロスサイトスクリプティング (XSS)、SQLインジェクションなどの攻撃や悪意のある動作からWebサーバーを保護。

Sophos UTM on AWS 38

用語集