セキュリティー・グループの構成

資料のこのセクションでは、必要なトラフィック・フローを許可するためのセキュリティー・グループの構成について説明します。このデプロイメント・パターンでは、以下の 3 つのセキュリティー・グループが使用されています。

要塞-このセキュリティー・グループは要塞ホストを保護します。
AD-このセキュリティー・グループは AD サーバーを保護します。
SQL-このセキュリティー・グループは SQL サーバーを保護します。

デュアル MZR パターンをデプロイする場合、セキュリティー・グループは VPC に制限されるため、3 つのセキュリティー・グループのセットが 2 つあります。

トラフィック・フローは以下のとおりです。セキュリティー・グループはステートフルであるため、許可する必要があるのはトラフィック・フローの開始のみです。

インターネットから管理者のラップトップをソースとする要塞ホストへの RDP トラフィック。
踏み台ホストから仮想サーバーへの RDP トラフィック。
要塞ホストからダウンロード用のインターネット・リソースへの HTTPS トラフィック。
Windows サーバー間の SMB トラフィック。
Windows クラスター・ノード間の RPC トラフィック。
ドメイン・コントローラー間の複製トラフィック。
メンバー・サーバーとドメイン・コントローラーの間の AD トラフィック
要塞ホストから SQL サーバーへの TCP 1433 上の SQL トラフィック。
要塞ホストから SQL サーバーへの TCP 6789 でのリスナーへの SQL クライアント。
Microsoft SQL Server 間の TCP 5022 の可用性グループ・トラフィックを常にオンにします。
内部リソース間の ICMP トラフィック。
UDP 53 上の AD サーバーへの DNS トラフィック。
IBM Cloud エンドポイント・トラフィック:
- UDP 53 上の IBM DNS リゾルバー 161.26.0.10 および 161.26.0.11 への DNS リゾルバー・トラフィック。
- UDP 53 上の AD サーバーへの DNS トラフィック。
- IBM NTP サーバーへの UDP 123 上の NTP トラフィック (161.26.0.6)。

インターネットからの RDP トラフィック

< IP_Address> は、管理者からの接続の外部 IP アドレスです。複数の IP がある場合は、CIDR ソース・タイプの使用を検討してください。

セキュリティー・グループ: 要塞
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: IP アドレス
ソース: < IP_Address>
値: ポート 3389

要塞ホストからの RDP トラフィック

セキュリティー・グループ: 要塞
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: 任意
宛先: 0.0.0.0/0
値: ポート 3389
セキュリティー・グループ: SQL、AD
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: < bastion_subnet>
値: ポート 3389

要塞ホストからの HTTPS トラフィック

浮動 IP のため、要塞ホストはファイルをダウンロードするためにインターネットにアクセスできますが、要塞ホストを保護するセキュリティー・グループには以下の規則があります。

セキュリティー・グループ: 要塞
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: 任意
宛先: 0.0.0.0/0
値: ポート 443

Windows サーバー間の SMB トラフィック

この SMB トラフィックは、ドメイン・アクセスおよびファイル共有に必要です。

セキュリティー・グループ: 要塞、AD、および SQL
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: < vpc_prefix>
値: ポート 139、445
セキュリティー・グループ: 要塞、AD、および SQL
ルール: インバウンド
protocol: UDP
ソース・タイプ: CIDR
ソース: < vpc_prefix>
値: ポート 137 から 138
セキュリティー・グループ: SQL
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: セキュリティー・グループ
宛先: 要塞
値: ポート 139
セキュリティー・グループ: 要塞、AD、および SQL
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: < vpc_prefix>
値: ポート 445
セキュリティー・グループ: 要塞、AD、および SQL
ルール: アウトバウンド
protocol: UDP
宛先タイプ: CIDR
宛先: < vpc_prefix>
値: ポート 137 から 138

Windows クラスター・ノード間の RPC トラフィック。

セキュリティー・グループ: SQL
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: < sql_subnet>
値: ポート 135
セキュリティー・グループ: SQL
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: < sql_subnet>
値: ポート 135
セキュリティー・グループ: SQL
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: < sql_subnet>
値: ポート 49152 から 65535
セキュリティー・グループ: SQL
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: < sql_subnet>
値: ポート 49152 から 65535
セキュリティー・グループ: SQL
ルール: インバウンド
protocol: UDP
ソース・タイプ: CIDR
ソース: < sql_subnet>
値: ポート 49152 から 65535
セキュリティー・グループ: SQL
ルール: アウトバウンド
protocol: UDP
宛先タイプ: CIDR
宛先: < sql_subnet>
値: ポート 49152 から 65535

ドメイン・コントローラー間の複製トラフィック

この例では、Active Directory サブネット間のすべてのポートを許可します。ドメイン・コントローラー間で使用されるすべてのプロトコルについて Active Directory ドメインおよび信頼するためのファイアウォールの構成方法を参照して、必要に応じてこれをさらにロックできるようにします。

セキュリティー・グループ: AD
ルール: インバウンド
プロトコル: すべて
宛先タイプ: CIDR
宛先: <ad_subnet>
値: すべてのポート
セキュリティー・グループ: AD
ルール: アウトバウンド
プロトコル: すべて
宛先タイプ: CIDR
宛先: <ad_subnet>
値: すべてのポート

メンバー・サーバーとドメイン・コントローラーの間の AD トラフィック

セキュリティー・グループ: 要塞
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: <ad_subnet>
値: ポート 464、88、389、636、3268、3269、135、49152 から 65535
セキュリティー・グループ: SQL
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: <ad_subnet>
値: ポート 464、88、389、636、3268、3269、135、49152 から 65535
セキュリティー・グループ: AD
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: <bastion_subnet>、 <sql_subnet>
値: ポート 464、88、389、636、3268、3269、135、49152 から 65535
セキュリティー・グループ: 要塞
ルール: アウトバウンド
protocol: UDP
宛先タイプ: CIDR
宛先: <ad_subnet>
値: ポート 464、88、389、49152 から 65535
セキュリティー・グループ: SQL
ルール: アウトバウンド
protocol: UDP
宛先タイプ: CIDR
宛先: <ad_subnet>
値: ポート 464、88、389、49152 から 65535
セキュリティー・グループ: AD
ルール: インバウンド
protocol: UDP
ソース・タイプ: CIDR
ソース: <bastion_subnet>、 <sql_subnet>
値: ポート 464、88、389、49152 から 65535

要塞ホストから SQL サーバーへの TCP 1433 上の SQL トラフィック

セキュリティー・グループ: SQL
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: <bastion_subnet>
値: ポート 1433
セキュリティー・グループ: 要塞
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: <sql_subnet>
値: ポート 1433

要塞ホストから SQL サーバーへの TCP 6789 でのリスナーへの SQL クライアント

セキュリティー・グループ: SQL
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: <bastion_subnet>
値: ポート 6789
セキュリティー・グループ: 要塞
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: <sql_subnet>
値: ポート 6789

Microsoft SQL Server 間の「常時オン」可用性グループ・トラフィック (TCP 5022)

セキュリティー・グループ: SQL
ルール: インバウンド
プロトコル: TCP
ソース・タイプ: CIDR
ソース: <sql_subnet>
値: ポート 5022
セキュリティー・グループ: SQL
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: <sql_subnet>
値: ポート 5022

内部リソース間の ICMP トラフィック

セキュリティー・グループ: 要塞、SQL および AD
ルール: アウトバウンド
プロトコル: ICMP
宛先タイプ: 任意
宛先: 0.0.0.0/0
値: タイプ: 任意、コード: 任意
セキュリティー・グループ: 要塞、SQL および AD
ルール: インバウンド
プロトコル: ICMP
ソース・タイプ: 任意
出典: 0.0.0.0/0
値: タイプ: 任意、コード: 任意

AD サーバーへの UDP 53 の DNS トラフィック

セキュリティー・グループ: AD
ルール: インバウンド
protocol: UDP
ソース・タイプ: CIDR
ソース: <sql_subnet>、 <bastion_subnet> 、および <ad_subnet>
値: ポート 53
セキュリティー・グループ: SQL および要塞
ルール: アウトバウンド
protocol: UDP
宛先タイプ: CIDR
宛先: <ad_subnet>
値: ポート 53

IBM Cloud エンドポイント・トラフィック

VPC 内部から、以下の 3 つのタイプの IBM Cloud エンドポイントにアクセスできます。

サービス・エンドポイント-Platform as a Service (PaaS) エンドポイントとも呼ばれます。これらのエンドポイントにより、 IBM Cloud プライベート・ネットワークを介した IBM Cloud サービスへのセキュア接続が可能になります。これらのエンドポイントは、cloud.ibm.com ドメイン内の DNS 名を介して使用可能であり、166.8.0.0/ 16 のアドレス範囲に解決されます。
インフラストラクチャー・エンドポイント-インフラストラクチャー・サービスは、adn.networklayer.com ドメインからの特定の DNS 名を使用して使用可能であり、161.26.0.0/ 16 アドレス・スペースに解決されます。サービスには、DNS リゾルバー、NTP、 IBM Cloud Object Storage 、Ubuntu ミラー、Debian ミラーが含まれます。許可されるプロトコルには、UDP 53 (DNS)、UDP 123 (NTP)、TCP 80 (HTTP)、および TCP 443 (HTTPS) が含まれている必要があります。
仮想エンドポイント-仮想エンドポイントを使用すると、VPC 内のサブネットから割り振られた IP アドレスを使用して、サポートされる IBM Cloud サービスに接続できます。

エンドポイントについて詳しくは、使用可能なエンドポイントおよび仮想プライベート・エンドポイント・ゲートウェイについてを参照してください。

インフラストラクチャー・エンドポイント

セキュリティー・グループ: 要塞、AD、および SQL
ルール: アウトバウンド
プロトコル: TCP
宛先タイプ: CIDR
宛先: 161.26.0.0/ 16
値: ポート 443

DNS リゾルバー・トラフィック

AD サーバーから IBM DNS リゾルバーへの DNS リゾルバー・トラフィックは、以下のように必要です。

セキュリティー・グループ: AD
ルール: アウトバウンド
protocol: UDP
宛先タイプ: IP
宛先: 161.26.0.10、161.26.0.11
値: ポート 53

NTP トラフィック

AD サーバーから IBM NTP サーバーへの NTP トラフィックが必要です。

セキュリティー・グループ: AD
ルール: アウトバウンド
protocol: UDP
宛先タイプ: IP
宛先: 161.26.0.6
値: ポート 123