ファイアウォール&セキュリティグループルールでのCIDRブロック
ファイアウォールルール、セキュリティグループ、NACLでのCIDRブロックの使用方法を学ぶ。許可/拒否パターン、0.0.0.0/0、最小権限IPアクセス制御を解説。
Security
詳細な説明
ファイアウォールルールでのCIDRブロック使用
CIDR表記は、ファイアウォールルール、クラウドセキュリティグループ、ネットワークACLでIPアドレス範囲を指定する標準的な方法です。
ルールでの一般的なCIDRパターン
どこからでも許可(危険)
0.0.0.0/0 -> すべてのIPv4アドレス
::/0 -> すべてのIPv6アドレス
特定IPからの許可
203.0.113.42/32 -> 単一IPアドレス
オフィスネットワークからの許可
198.51.100.0/24 -> 256アドレス(オフィス範囲)
最小権限CIDR選択
常に可能な限り最も具体的なCIDRを使用:
| 代わりに | 使用 | 理由 |
|---|---|---|
| SSHに0.0.0.0/0 | オフィスの/24または/32 | 攻撃面を制限 |
| 10.0.0.0/8 | 10.0.1.0/24(特定サブネット) | 影響範囲を制限 |
| データベースに/16 | アプリサブネットの/24のみ | 多層防御 |
ユースケース
AWSセキュリティグループルールで過度に許可的な0.0.0.0/0エントリの監査、正確なCIDRレンジを使用したNACLルールの作成、またはファイアウォール設定の冗長/競合するIPベースルールのレビュー。