ファイアウォール管理のスケール変更

コンピューティング アプリケーション ネットワーク ファイアウォール (CNAF) のセルフサービス管理

このドキュメントでは、組織内で使用されているコンピューティング ファイアウォール (CNAF) にアクセスして更新する方法について説明します。

イントロダクション

CNAFは、Rescaleが提供するホスト型ファイアウォールサービス(Compute Network Application Firewall)です。1つ以上のコンピューティングリージョンでRescaleジョブやワークステーションを実行する際に、厳格なセキュリティネットワーク制限を設けているお客様を対象としています。CNAFは、Rescaleコントロールプレーンとマネージドコンピューティングリージョン間のネットワークトラフィックを許可することで、ジョブは問題なく実行され、RescaleストレージやRescaleなどの他のRescaleサービスにもアクセスできます。 サービス(企業ライセンスプロキシおよびライセンスホスティング)。Rescale VPN サービスをご利用のお客様の場合、内部プライベートルートは CNAF ファイアウォールサービスの背後でも引き続き機能します。 

デフォルトでは、コンピューティング境界外のネットワークトラフィックはすべてCNAFによってブロックされます。これにはジョブ間のネットワークトラフィックも含まれます。 or パブリックインターネット、そしてジョブクラスターまたはワークステーションとユーザーのローカルオンプレミスデスクトップコンピュータ間のネットワークトラフィックを管理します。次の図は、Rescale環境内でCNAFファイアウォールサービスがどのように動作するかを示しています。

同じコンピューティングリージョン内にCNAFが存在する場合、特定のジョブを実行するためにインターネットへの外部ネットワークアクセスが必要な場合、お客様はCNAFのホワイトリストエントリを更新し、IPアドレスまたはドメイン名など、特定の場所へのコンピューティングネットワークトラフィックを許可することができます。エントリの更新は、組織内に存在するすべてのCNAFに適用されます。  


CNAF管理ページへのアクセスは、組織管理者のみに制限されています。管理者ページからリクエストされたCNAF更新は、セキュリティ上の理由から、Rescaleスタッフによる審査を経て適用されます。通常の営業時間内に提出されたCNAF更新リクエストの審査と承認にかかる時間は、通常1時間以内です。許可リストに指定できる値には、IP CIDR範囲、完全修飾ドメイン名(FQDN)、および「*’, [a-z], [0-9]*など。直接URLの値は、 https:// サポートされていません。

RescaleのCNAFサービスを使用するメリット

コンピューティング領域向けのRescaleホスト型ファイアウォールソリューションは、ジョブとワークステーションの既存の製品プラットフォームインフラストラクチャに完全に統合されています。CNAFの管理は既存の管理ポータル内で提供されるため、別のアプリケーションをインストールして起動する必要はありません。新しいジョブとワークステーションは、手動での設定を必要とせず、CNAFの境界内で動作するように動的に構成されます。Rescaleファイアウォールサービスの管理には、ネットワークに関する高度な専門知識や特別なCSPクラウド管理者のアクセスは必要ありません。すべての新規ジョブとワークステーションは、Rescale内部のコントロールプレーンへの最低限必要な接続を確保されているため、シームレスで透過的な実行が可能です。 (HPC) ワークロード

CNAFの継続的な調整と更新はRescale管理者が実行できるため、外部のIT組織やネットワークチームにリクエストを提出する必要はありません。複数のCNAFはRescale管理ポータル内で一元管理されます。ファイアウォールの更新には変更履歴が提供され、CNAF管理ページから簡単に確認できます。すべてのCNAFインスタンスは、 高可用性 継続的に監視されています。Rescaleは、使用中のすべてのCNAFサービスに対してソフトウェアアップデートと24時間7日のサポートを提供します。

新しいCNAFのプロビジョニング

Rescaleが提供するCNAFサービスは、別途料金が発生するオプション機能です。CNAFの料金は、導入ユニット数、お客様環境の複雑さ、およびサービスレベルに基づいて決定されます。お客様は管理ポータルから新しいCNAFをプロビジョニングすることはできません。事前にRescaleにリクエストして購入する必要があります。1つ以上のCNAFが設定され、利用可能になると、お客様はファイアウォール管理ページの「統合」メニューで利用可能なすべてのCNAFを表示および管理できます。

新しい CNAF ファイアウォール サービスをリクエストするための最適な準備として、次の情報を用意してください。

  • Python ライブラリ、Linux ユーティリティなど、ジョブやワークステーションで使用されることが予想される既知のパッケージやその他のインターネット ダウンロードを一覧表示します。
  • Rescale環境内に既存の企業プライベートネットワーク(CPN)が既に存在しますか?Rescale環境内のCPNは、CSPプライベートネットワーク(例えば、 AWS VPC またはAzure Vネット.
  • あなたのRescale組織はどの地域のプラットフォームでホストされていますか?(アメリカ、ヨーロッパ、日本、韓国、またはITAR)
  • CNAFカバレッジが必要なコンピューティングリージョンはいくつありますか?CSPプロバイダーとCSPリージョン名(例:AWS/us-east-1」または「Azure/southcentralus"。
  • ジョブまたはワークステーションから発信される送信ネットワーク トラフィックに許可されるすべての IP アドレスとドメイン値のリストを提供してください。
  • 貴社では NAT (ネットワーク アドレス変換) ゲートウェイを使用していますか?
  • 会社ライセンス プロキシ (CLP) やライセンス ホスト (LH) など、使用中の Rescale ライセンス サービスをすべてリストしてください。

CNAF管理

CNAF管理者ページは管理ポータル内にあります。CNAFを表示および管理するには、組織管理者のアクセス権が必要です。このアクセス権は、 管理者の場合:「統合」メニューに移動し、「ファイアウォール」を選択します。

CNAF 管理ページには 4 つのセクションがあります。

  • ファイアウォールの展開の詳細
    • これは、CSP リージョンごとに展開されている個々の CNAF のリストです。
  • IP許可リスト
    • これは、コンピューティングネットワークトラフィックに許可されたIP値またはCIDR範囲のリストです。
  • ドメイン許可リスト
    • これはコンピューティングネットワークトラフィックに許可されたドメイン値のリストです
  • 最新のアップデート
    • これは、CNAF許可リストの値に対する最近の管理変更のリストです。

展開の詳細セクション

組織内に展開されている個々の CNAF は、管理ページの最初のセクションに表示されます。

デプロイ済みのCNAFの一覧から、総数、対象となるコンピューティングリージョン、有効化ステータスを確認できます。この管理ページから新しいCNAFを作成することはできません。新しいCNAFをプロビジョニングして使用する場合は、Rescaleまでお問い合わせください。

CNAFは一時的に無効化できます。つまり、ファイアウォールによるネットワークトラフィックのブロックが一時停止されます。これにより、CNAFが削除または終了されることはありません。CNAFを無効化すると、そのCNAFが存在するコンピューティングリージョン内のすべてのネットワークトラフィックが通過するようになります。ページ下部の「最近の更新」セクションで、CNAFの一時停止リクエストをキャンセルできます。

IP許可リストセクション

CNAF管理ページの次のセクションは、IP許可リストテーブルです。これらの値は組織内に導入されているすべてのCNAF間で同期されるため、個々のCNAFを更新する必要はありません。 組織管理者は、IP 許可リストのエントリを追加または削除したり、新しいエントリに簡単な説明を入力したりできます。

IPホワイトリストの既存の値を削除するには、「削除」ボタンをクリックします。IPホワイトリストに新しい値を追加するには、「エントリの追加」ボタンをクリックします。変更したが送信していない場合は、「削除をキャンセル」または「追加をキャンセル」ボタンを選択してキャンセルできます。ホワイトリストに追加されるすべてのIP値は、IP CIDR表記形式に従う必要があります。ホワイトリストに単一のIPアドレスを指定するには、値の後に「/32” 。有効な入力例は「162.194.16.4/32"。  

以下は、IP 許可リスト テーブルを更新して既存のエントリを削除し、新しいエントリを追加する例です。

IP許可リストテーブルへの変更が完了したら、「IP許可リストの更新をリクエスト」をクリックして送信してください。これにより、更新内容がRescaleによるレビューに送信されます。セキュリティ上の理由から、すべてのファイアウォール更新は、リクエストされた更新を適用する前にRescaleによって社内でレビューされます。

送信した更新が審査待ちの間、IP 許可リストへの更新が次のように表示されます。

  • 削除したエントリのステータス値は「削除保留中」になります。
  • 追加したエントリのステータスは「追加保留中」になります。

変更が適用される前に、いつでも更新リクエストをキャンセルできます。IP許可リストに保留中の変更がある場合、以前に送信した変更が適用されるまで、または更新リクエストをキャンセルするまで、追加の更新を行うことはできません。保留中の更新リクエストをキャンセルすると、許可リストのエントリは以前の状態にリセットされます。

ドメイン許可リストセクション

CNAF管理ページの次のセクションは、ドメインホワイトリストテーブルです。これらの値は組織内に導入されているすべてのCNAF間で同期されるため、個々のCNAFインスタンスを更新する必要はありません。組織管理者は、ドメインホワイトリストのエントリを追加または削除したり、新しいエントリに簡単な説明を入力したりできます。


ドメインホワイトリストの既存の値を削除するには、「削除」ボタンをクリックします。ドメインホワイトリストに新しい値を追加するには、「エントリを追加」ボタンをクリックします。変更後、送信していない場合は、「削除をキャンセル」または「追加をキャンセル」ボタンを選択してキャンセルできます。ホワイトリストに追加されるすべてのドメイン値は、許容されるドメイン名形式に従う必要があります。「https://" 例えば。

ドメイン名の値と組み合わせた基本的な正規表現を使用して、1 つのエントリで複数の値を一致させることができます。

  • abcdefg-[0-9]*.blob.core.windows.net

以下は、複数のサブドメインに一致する第 2 レベル ドメインと組み合わせた正規表現を使用して、ドメイン許可リストを更新する例です。

エントリー *.orgname.org 次のサンプルサブドメインが存在する場合は一致します。

ドメインホワイトリストテーブルへの変更が完了したら、「ドメインホワイトリストの更新をリクエスト」をクリックして送信してください。これにより、更新内容がRescaleによる審査に送られます。セキュリティ上の理由から、すべてのファイアウォール更新は、リクエストされた更新を適用する前にRescaleによって社内審査されます。

送信した更新が審査待ちの間、ドメイン許可リストへの更新が次のように表示されます。

  • 削除したエントリのステータス値は「削除保留中」になります。
  • 追加したエントリのステータスは「追加保留中」になります。

変更が適用される前に、いつでも更新リクエストをキャンセルできます。ドメイン許可リストに保留中の変更がある場合、以前に送信した変更が適用されるまで、または更新リクエストをキャンセルするまで、追加の更新を行うことはできません。保留中の更新リクエストをキャンセルすると、許可リストのエントリは以前の状態にリセットされます。

IP とドメイン値の 2 つの許可リスト テーブルは個別に更新できます。

最近の更新セクション

組織内のCNAFの最新の更新を最大10件まで確認できます。これには、承認待ちの変更も含まれます。過去の更新エントリには、変更日、変更要求者、現在のステータスが含まれます。以下は、Rescaleによる承認待ちの「承認待ち」ステータスにある、最近提出された更新の例です。

リクエストされた更新が適用されると、「最近の更新」セクションのステータスが「保留中」から「適用済み」に変わります。

既知の制限事項

  • 現時点では、新しいCNAFの作成は自動化されていません。新しいCNAFリクエストはRescaleに直接送信してください。
  • ドメイン リストのエントリは、URL 値ではなく、完全修飾ドメイン名である必要があります。
  • ドメインリストエントリの場合、CNAF 使用時は HTTPS トラフィックのみが許可されます。その他のトラフィックはすべてドロップされます。
  • CNAF 許可リスト エントリを更新するために送信されたリクエストは自動的には適用されず、まず Rescale によって確認され、承認されます。
  • UI ページを自動的に更新するために、更新リクエストが遅延されることがあります。
  • CNAF は、Rescale の高コンプライアンス プラットフォーム (FedRAMP および IL5) では提供されません。

×