コンテンツにスキップ
ページの一部またはすべては機械翻訳されました。
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=aws-auto-scaling

Sophos Firewall と AWS Auto Scaling

Sophos FirewallをAWS Auto Scalingを使用して展開することができ、トラフィック負荷やトリガーイベントに基づいてファイアウォールEC2インスタンスの数を自動的に調整します。

AWSのファイアウォールEC2インスタンスはワーカーノードとして機能し、自動的にプロビジョニングされ、承認され、Sophos Centralの適切なファイアウォールグループに追加されます。

Auto Scaling にあるファイアウォール EC2 インスタンスは、シングルアーム展開で展開されており、単一の機能インターフェース(PortB)のみを持っていることを意味します。

この展開は、DNATやWAFトラフィックなどのインバウンドトラフィックのみをサポートしています。

このガイドでは、サードパーティ製品に関する手順についても説明しています。各ベンダーの最新ドキュメントを確認することを推奨します。

要件

  • AWS アカウント
  • ペイ・アズ・ユーゴー(PAYG)ライセンス

ネットワーク図

下の図は、AWS Auto Scaling ネットワークを示しています。

AWS Auto Scaling ネットワークダイアグラム。

使用されているIPアドレスはデモ用途です。Auto Scaling グループで任意の IP アドレスとサブネット値を選択できます。

Sophos Central

次のようにSophos CentralでAPI資格情報を作成します:

  1. Sophos Central に移動してサインインしてください。

  2. マイプロダクト > 全般設定」を参照し、「API 認証情報の管理」をクリックします。

API 認証情報の管理。

  1. プロンプトが表示されたら、 利用規約とプライバシーポリシーに同意します。

  2. 認証情報の追加」をクリックします。

  3. 認証情報名と説明を入力します。

  4. ロール」で、「サービスプリンシパルのファイアウォール」を選択します。

  5. 追加」をクリックします。

  6. Client IDClient secret の値をコピーして、それらをテキストファイルに保存してください。

API 認証情報のサマリー。

AWS

Auto Scaling機能は、Sophos Cloud Firewall (PAYG)でのみ利用可能です。

キーペアを作成する

キーペアを次のように作成します:

  1. AWS web console にアクセスしてサインインしてください。

  2. EC2」を検索し、「EC2」サービスをクリックしてください。

  3. ネットワーク&セキュリティ

!!! note "注"

   AWSアカウントにすでにキーペアがある場合は、この手順をスキップすることができます。

  1. 名前を入力し、他の設定はデフォルト値のままにしてください。

  2. Click キー ペアを作成.

Key Pair。

CloudFormationテンプレートを起動する

次のようにクラウドフォーメーションテンプレートを起動します。

  1. AWS ウェブコンソールで、AWS marketplace を検索し、AWS Marketplace サービスをクリックします。

  2. Click 製品を発見, 検索欄に Sophos Cloud Firewall (PAYG) を入力し、Sophos Cloud Firewall (PAYG) をクリックしてください。

Sophosクラウドファイアウォール。

  1. クリック購入オプションを表示し、次に構成に進むをクリックしてください。

  2. Fulfillment optionの下で、Sophos Auto Scaling Firewall for AWSを選択します。

  3. タグペア2のソフトウェアバージョンの下で、最新のファイアウォールバージョンを選択してください。

  4. タグペア2の下で、あなたの地域を選択してください。

  5. 続行のボタンをクリックします。

クラウドファイアウォールを構成します。

  1. アクションの選択」を選択し、CloudFormationの起動を選択して、起動をクリックします。

クラウドフォーメーションを起動します。

  1. Next」をクリックします。

スタックの作成。

スタックの作成

タグペア2の「スタック名」を入力し、以下の設定を構成してください。

クラウドインフラストラクチャの構成

クラウドインフラストラクチャを以下のように設定します:

  1. AMI IDの下に、AMI IDのデフォルトの場所が表示されます。

!!! example "例"

   `/aws/service/marketplace/prod-6ntmye5sxmqum/21.0-mr1`
  1. タグペア2の「インスタンスサイズ」の下で、m5.xlargeを選択してください。

より小さいインスタンスサイズを選択することもできます。

スタックの詳細。

  1. デプロイメント用の利用可能ゾーン1の下で、利用可能ゾーンを選択してください。

  2. 展開用のAvailabilityZone 2の下で、別の可用性ゾーンを選択してください。

各々異なる利用可能ゾーンを選択する必要があります。これにより、ファイアウォール EC2 インスタンスが両方の利用可能ゾーンに展開されます。

可用性ゾーン。

  1. 新しいVPCを使用しているか、既存のVPCを使用しているかに応じて、次のオプションを選択してください。

  2. 新しいVPCにファイアウォールEC2インスタンスを展開するには、新しいVPCのネットワークアドレスプレフィックスの未使用のVPCの最初の2つのオクテットを入力し、他の設定は空白のままにします。

    AWS Auto Scalingの新しいVPNサブネット。

  3. 既存のVPCにファイアウォールEC2インスタンスを展開する際は、新しいVPCのネットワークアドレスプレフィックスの値を変更しないでください。次の設定を行います。

    • 既存のVPCへの展開既存のVPC IDを入力してください。
    • 既存のパブリックサブネットID 1既存のVPC内で既存のパブリックサブネットIDを入力してください。
    • 既存のパブリックサブネット ID 2既存のVPC内で別の既存のパブリックサブネットIDを入力してください。
    • 既存のプライベートサブネットID既存のVPC内で、既存のプライベートサブネットIDを入力してください。

    既存のVPCにデプロイします。

    !!! note "注"

     サブネットには、**Auto-assign public IPv4 address** オプションがオンになっていることを確認してください。

 ![パブリックIPv4アドレスを自動割り当てします。](../../../images/AWSAutoScalingAutoSubnet.png)

  4. 信頼されたネットワークCIDRの下に、パブリックIPアドレスと/32サブネットを入力してください。

信頼されたネットワークCIDR。

!!! warning "警告"

   インターネットを介してファイアウォールインタフェース全体にアクセスを許可する可能性があるため、`0.0.0.0/0`を入力しないでください。

!!! tip "ヒント"

   パブリックIPアドレスを確認するには、[What Is My IP?](https://www.whatismyip.com/) にアクセスできます。
  1. Public Network CIDRの下に、0.0.0.0/0を入力してください。

これにより、ファイアウォールインスタンスへのすべてのポートからのインバウンドトラフィックが許可されますが、管理ポートである22番および4444番を除きます。

パブリックネットワークCIDR。

!!! note "注"

   展開後にセキュリティ要件に応じてこの値を変更できます。

Sophos Firewall 設定

ファイアウォールの設定を以下のように構成します:

  1. ファイアウォール名を入力してください。

  2. 管理者パスワード

このパスワードは、ユーザーadminがWeb管理コンソールとCLIにアクセスするためのものです。

  1. タグペア2の下に、セキュアストレージマスターキーパスワードを入力してください。

  2. SSHキーペア名の下で、作成したキーペアを選択してください。

  3. CloudWatch の使用

Sophos Firewall 設定。

Sophos Central の設定

以下のようにSophos Centralの設定を構成します:

  1. 「Sophos ID」のメールアドレスと「Sophos ID」パスワードを入力してください。

  2. 以前にメモしたSophos Central クライアント IDSophos Central クライアント シークレットを入力してください。

  3. Sophos Central AS グループ名

ソフォスセントラルアカウントには、ファイアウォールグループが自動的に作成されます。

Sophos Central の設定。

Auto Scaling 設定

Auto Scaling グループに必要なファイアウォール EC2 インスタンスの数を設定します。

  1. Auto Scaling グループ内のファイアウォールの最小数を入力してください。

常に稼働するためには、少なくとも2つのインスタンスが必要です。2を入力してください。この例では、値は2です。

  1. Starting capacity、Auto Scaling グループ内のファイアウォールの数を入力してください。

開始容量は、デプロイメントの一環として最初に展開されるインスタンスの数です。したがって、指定できるインスタンスの最大数が4つの場合、この値を\開始容量\として設定することをお勧めします。これにより、すべてのインスタンスを同時に展開し、登録し、ファイアウォールグループに即座に追加できます。この例では、値4を使用しています。

  1. 最大容量の下に、Auto Scaling グループ内のファイアウォールの最大数を入力してください。

この例では、値4を使用しています。

  1. ウォームプール更新期間の下に、値を入力してください。

この期間の終わりに、Stopped 状態のインスタンスが Running 状態に移行し、その後Sophos Centralと同期して、ファイアウォールグループからの更新された構成を取得します。

デフォルト: 5日間

!!! example "例"

   \<source>If two out of four instances run continuously, the other two instances move to **Running** status once every five days to synchronize their configurations with the firewall group in Sophos Central.\</source>

        If 4つのインスタンスのうち2つが連続して実行されている場合、残りの2つのインスタンスは、Sophos Centralのファイアウォールグループとの構成を同期するために、5日ごとに**Running**ステータスに移行します。

Amazon Web Services(AWS)のオートスケーリング構成。

その他の構成

他の設定を以下のように構成します:

  1. タグペア2の下に、Sophosエンドユーザーライセンス契約を承諾し、Sophosプライバシーポリシーに同意します。
  2. 顧客エクスペリエンス向上プログラムにオプトインし、オプションを選択してください。
  3. Next」をクリックします。

その他の設定。

スタックオプションを構成する

スタックオプションを次のように設定します。

  1. (オプション) タグ の下で、新しいタグを追加 をクリックします。

  2. (任意)キーと値を入力してください。

タグ」を選択します。

!!! tip "ヒント"

   お名前を`OwnerName`として、**キー**として入力し、**値**として名前を入力することをお勧めします。この機能は、AWSアカウント内のリソースの所有者を特定するのに役立ちます。組織の命名規則もタグとして使用することもできます。

  1. Capabilitiesの下で、AWS CloudFormation が IAM リソースを作成する可能性に同意するのチェックボックスを選択してください。

  2. Next」をクリックします。

機能。

レビューして作成

設定を確認した後、送信をクリックしてください。

展開プロセスが開始され、15〜20分かかります。

デプロイメントが完了すると、スタックのステータスはあなたのスタックに対してCREATE_COMPLETEになります。これは、Sophos Firewall EC2インスタンスをAuto Scalingグループに正常に展開したことを意味します。

完了しました。

次の手順に従って、Sophos Central に展開されたファイアウォールをチェックします:

  1. Sophos Central にサインインします。

  2. マイプロダクト > ファイアウォール管理 > ファイアウォール」に移動します。

作成されたファイアウォールグループと、そのグループに自動的に配置されたファイアウォールPAYGインスタンスをご覧いただけます。

Auto Scaling グループ。

EC2の構成を編集します。

EC2の設定を以下のように編集します:

  1. AWS web console にアクセスしてサインインしてください。

  2. EC2」を検索し、「EC2」サービスをクリックしてください。

  3. 左側のメニューから、Auto scaling > Auto scaling groups に移動してください。

作成したAuto Scaling グループを確認できます。

  1. 容量を編集するには、以下の手順を実行してください。

  2. Auto Scaling グループをクリックします。

  3. タグペア2の「容量の概要」をクリックし、「編集」をクリックします。
  4. 変更したいオプションの値を更新してください。
  5. Update」(更新) をクリックします。

グループのサイズ。

  1. 左側のメニューで、Instancesをクリックしてください。

  2. 作成したファイアウォール名を検索してください。同じ名前を使用しているファイアウォールを見ることができます。

オートスケーリングファイアウォール。

  1. ファイアウォールインスタンスをホバーして編集をクリックしてください AWS の編集ボタン。

  2. 名前を編集してください。各ファイアウォールに一意の名前を付けて、簡単に識別できるようにしてください。

追加情報

Auto Scaling デプロイメントの追加情報は次のとおりです:

  • CloudFormationの展開セクション中にCloudWatchを有効にした場合、ファイアウォールEC2インスタンスのログはAWSアカウントのCloudWatchロググループに保存されます。ログを確認するには、CloudWatch > Logs > ロググループ に移動し、/sophos/xg/ を検索します。

CloudWatch。

  • 動的な負荷状況を維持するために、ファイアウォール EC2 インスタンスは、Auto Scaling トリガーポリシーに基づいて終了される可能性があります。

  • \

    AWSアカウントから終了されたファイアウォールインスタンスは、割り当てられていたSophos Centralファイアウォールグループに残ります。\

    ソフォスセントラルファイアウォールグループから終了したファイアウォールを手動で削除する必要があります。

Sophos Centralファイアウォールグループ。