Amazon Web Services ブログ
AWS Network Firewall が東京リージョンで利用可能になりました
みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。
今週は AWS 東京リージョンの 10 周年、そして 3 つの AZ を持つ大阪リージョンの発表があり、日本におけるクラウド利用は広がり続けています。そして、2020 年 11 月に発表された、AWS Network Firewall が東京リージョンで本日利用可能になりましたのでお知らせいたします。
Network Firewall は AWS クラウド上でお客様向けに論理的に分離された仮想ネットワークの構築を実現する AWS の重要な機能である、Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張される数十万コネクションを管理できるため、インフラストラクチャのデプロイと管理について心配する必要はありません。
従来 VPC には基本的なセキュリティ機能として、プロトコル単位、IP アドレス単位、ポート単位で通信のインバウンド、アウトバウンドの許可・拒否の制御を行うセキュリティグループ、ネットワークアクセスコントロールリスト (ACL) があり、主にレイヤ 3 及び 4 で動作します。このNetwork Firewall は、VPC に備わる新たなセキュリティ機能であり、アカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするAWS Firewall Managerと統合されて、レイヤ7まで含めた制御を実現します。
Network Firewall は数千のカスタムルールを設定可能なステートフルに動作するファイアウォールとして機能し、接続の追跡やプロトコルの識別などのトラフィックフローからコンテキストを組み込んで、VPC が不正なプロトコルを使用してドメインにアクセスするのを防ぐなどのポリシーを適用することができます。AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックすることができ、また、既知の不正な URL へのトラフィックを停止し、完全修飾ドメイン名を監視できるウェブフィルタリング等も提供されます。従来のセキュリティグループやネットワーク ACL の制御では、許可、拒否の2択でしたが、alertの機能が備わっており、これらの検知結果などはAmazon CloudWatch でダッシュボード化することが可能で、可観測性を高めることに役立ちます。
外部通信のインバンド、アウトバウンド制御だけではなく、AWS Transit Gateway との連携により、相互接続された VPC のきめ細かいネットワークセキュリティコントロールを実現することが可能で、さらに Transit Gateway でサポートされているクライアントデバイスおよび オンプレミス環境から AWS Direct Connect と VPN のトラフィックを保護することができます。
サービスの起動はマネージメントコンソールの VPC 画面から行えます。
Network Firewallに組み込むルールは以下の画面で設定を行っていきます。送信元 IP、送信元ポート番号、宛先 IP、宛先ポート番号、プロトコル番号を指定する 5-tuple 形式、ドメイン名ベースの制御を行うDomain list形式、オープンソースベースの IPS である Suricata をベースとした Suricata compatible IPS rules を選択しルールを作成します。
Suricata 形式の場合、例えばポート443 に対して非 TLS 通信の試みがあった場合に alert を出力する場合、以下のような形式の記述でルールを作成していきます。
詳細は Suricate 公式ドキュメント、および AWS 公式ドキュメントをご覧ください。
– シニアエバンジェリスト 亀田;