VMware Cloud コンソールへのアクセス制御

VMware Cloud on AWS を担当しているソリューションアーキテクトの黒岩宣隆です。

2021 年 2 月に追加された新機能では、IP アドレスまたは IP レンジを基に VMware Cloud コンソールへのアクセス制御を行うことが可能となりました。

これにより、企業のセキュリティポリシーとしてソース IP によるアクセス制御が必要なお客様も、ポリシーを変更することなく VMware Cloud on AWS をご利用いただけるようになりました。

今回は、このアクセス制御の機能について解説します。

IP アドレス/レンジによるアクセス制御

VMware Cloud コンソールへのアクセスはインターネット経由で、ユーザ ID とパスワードでログインを行います。また、セキュアなアクセスを実現するために多要素認証または企業のシングルサインオンと ID ソースを利用したログインが可能です。（詳細はこちらのドキュメントをご参照ください）

今回のアップデートでは、ログイン時にアクセス元の IP アドレス/レンジを元にして、VMware Cloud コンソールへのアクセスを許可する、または拒否するといった制御が可能となります。

図1 IP アドレスによる VMware Cloud コンソールへのアクセス制御

アクセス制御は下記 2 つの方法があります。

この設定は、VMware Cloud Service ポータルの Authentication Policy のページで設定します。

また、Block IP または Allow IP のポリシーのどちらか一つのみ設定でき、必要に応じて変更も行えます。

図2 Authentication Policy 設定画面

1. Block IP の設定
特定の IP アドレスまたは IP レンジからのアクセスをブロックしたい場合は、Block IP を設定します。
Block IP は、CIDR 形式で指定し、複数設定が可能です。

図3 Block IP 設定画面

2. Allow IP の設定
特定の IP アドレスまたは IP レンジからのみアクセスを許可したい場合は、Allow IP を設定します。
Allow IP は、CIDR 形式で指定し、複数設定が可能です。

図4 Allow IP 設定画面

許可されていない IP アドレスまたは IP レンジから VMware Cloud コンソールへログインを行うと、たとえログイン ID、パスワードが合っていても下記画面のように Access Blocked と表示されます。

この設定は、VMware Cloud Service の組織毎となります。よって、複数の組織に所属しているユーザは、他の組織へ変更は行えますのでご安心ください。

図5 アクセス拒否された画面

今回アップデートされた機能により、VMware Cloud コンソールへのログイン時にアクセス元の IP アドレス/レンジを元にしてアクセスを許可する、または拒否するといった制御が可能となりました。是非皆様のクラウド環境へのアクセスをセキュアにするための手段としてご活用ください。