AWS Network Firewall のよくある質問

AWS Network Firewall は、すべての Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。このサービスは、数回クリックするだけで設定でき、ネットワークトラフィックに合わせて自動的にスケールされるため、インフラストラクチャのデプロイと管理について心配する必要はありません。Network Firewall の柔軟なルールエンジンを使用すると、アウトバウンドサーバーメッセージブロック (SMB) リクエストをブロックして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックをきめ細かく制御できるファイアウォールルールを定義できます。一般的なオープンソースルール形式で既に作成したルールをインポートしたり、AWS パートナーから提供された互換性のあるルールをインポートしたりすることもできます。AWS Network Firewall は AWS Firewall Manager と連携するため、AWS Network Firewall ルールに基づいてポリシーを構築し、それらのポリシーを VPC とアカウント全体に一元的に適用できます。

AWS Network Firewall のインフラストラクチャは AWS によって管理されるため、独自のネットワークセキュリティインフラストラクチャの構築と維持について心配する必要はありません。AWS Network Firewall は AWS Firewall Manager と連携するため、セキュリティポリシーを一元管理し、既存および新規作成したアカウントおよび VPC 全体で必須のセキュリティポリシーを自動的に適用できます。AWS Network Firewall には柔軟性の高いルールエンジンが備わっているため、独自のワークロードを保護するカスタムファイアウォールルールを構築できます。AWS Network Firewall は数千のルールをサポートしており、ルールは、ドメイン、ポート、プロトコル、IP アドレス、パターンマッチングに基づくことができます。

AWS Network Firewall は、一般的なネットワークの脅威から保護する機能を備えています。AWS Network Firewall のステートフルファイアウォールは、接続の追跡やプロトコルの識別などのトラフィックフローからコンテキストを組み込んで、VPC が不正なプロトコルを使用してドメインにアクセスするのを防ぐなどのポリシーを適用できます。AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックできます。また、AWS Network Firewall は、既知の不正な URL へのトラフィックを停止し、完全修飾ドメイン名をモニタリングできるウェブフィルタリングも提供します。

AWS Network Firewall を利用すると、VPC 間のトラフィックを制御および可視化して、機密性の高いアプリケーションや基幹業務リソースをホストするネットワークを論理的に分離できます。コンプライアンス要件の充足、潜在的なデータ漏えいの防止、既知のマルウェアホストとの通信のブロックに役立つよう、AWS Network Firewall は、URL、IP アドレス、ドメインベースのアウトバウンドトラフィックフィルタリングを提供します。AWS Network Firewall は、AWS Transit Gateway を経由する AWS Direct Connect と AWS VPN トラフィックを、クライアントデバイスやオンプレミス環境から保護します。AWS Network Firewall は、アクセスコントロールリスト (ACL) ルール、ステートフルインスペクション、プロトコル検出、侵入防止などの機能を使用してインバウンドインターネットトラフィックをフィルタリングすることにより、アプリケーションの可用性を維持します。

AWS Network Firewall は、VPC へのアクセスと VPC からのアクセスを保護および制御するように設計されていますが、アプリケーションの可用性に影響を及ぼし得る分散型サービス拒否 (DDoS) などのボリューム型攻撃を軽減するために設計されたものではありません。DDoS 攻撃から保護し、アプリケーションの可用性を確保するために、お客様には、「DDoS 耐性を獲得するための AWS のベストプラクティス」を読んで遵守すること、および特定のアプリケーションのトラフィックに対してカスタマイズされたマネージド DDoS 保護を提供する AWS Shield Advanced の利用を検討することをお勧めします。

AWS Network Firewall は、VPC 全体のレイヤー 3～7 のネットワークトラフィックに対するコントロールと可視性を提供することで、AWS 上の既存のネットワークおよびアプリケーションセキュリティサービスを補完します。ユースケースに応じて、使用中のセキュリティコントロールと組み合せて AWS Network Firewall を実装することを選択できます。Amazon VPC セキュリティグループ、AWS Web Application Firewall ルール、AWS Marketplace のアプリケーションなどと利用できます。

AWS Network Firewall の料金は、デプロイされているファイアウォールの数と検査したトラフィックの量に基づきます。詳細については、「AWS Network Firewall の料金」をご覧ください。

AWS Network Firewall を利用できるリージョンの詳細については、AWS リージョンの表を参照してください。

多くの AWS パートナーネットワーク (APN) パートナーが、既存の AWS サービスを補完する製品を提供しています。これにより、お客様は、AWS とオンプレミス環境全体でシームレスかつ包括的なセキュリティアーキテクチャをデプロイできます。AWS Network Firewall を補完する製品を提供している APN パートナーの最新のリストについては、「AWS Network Firewall Partners」をご覧ください。

AWS Network Firewall は、99.99% の稼働率をお約束するサービスレベルアグリーメントを提供しています。AWS Network Firewall を利用すると、トラフィックの負荷に基づいてファイアウォールのキャパシティを自動的にスケールアップまたはスケールダウンし、安定した予測可能なパフォーマンスを維持して、コストを最小限に抑えることができます。

AWS Network Firewall には、作成できるファイアウォール、ファイアウォールポリシー、およびルールグループの数、ならびに 1 つのファイアウォールポリシーに含めることができるステートレスまたはステートフルルールグループの数などのその他の設定についてのサービスクォータが適用されます。サービスクォータの引き上げをリクエストする方法など、サービスクォータの追加の詳細については、「AWS Network Firewall quotas」のページをご覧ください。

AWS Network Firewall は、集中型と分散型という 2 つの主要なデプロイタイプをサポートしています。AWS Network Firewall を分散すると、各 Amazon VPC 内でデプロイして、アプリケーションの近くで適用できます。また、AWS Network Firewall は、AWS Transit Gateway への VPC アタッチメントとしての一元的なデプロイもサポートしています。 同じゾーンファイアウォールへの対称ルーティングを維持する Transit Gateway モードの Network Firewall を利用すると、インターネットゲートウェイ、Direct Connect ゲートウェイ、PrivateLink、VPN Site-to-Site ゲートウェイおよびクライアントゲートウェイ、NAT ゲートウェイの間で、さらにはアタッチされている他の VPC とサブネット間で送受信されるさまざまなインバウンドおよびアウトバウンドトラフィックをフィルタリングできます。

AWS Network Firewall は、AWS PrivateLink などの他のネットワークサービスと同様に、エンドポイントサービスとしてデプロイされます。AWS Network Firewall エンドポイントは、最小サイズ /28 で、Amazon VPC 内の専用サブネットにデプロイする必要があります。AWS Network Firewall は、エンドポイントにルーティングされるすべてのトラフィックを検査します。これは、パスの挿入とフィルタリングのためのメカニズムです。AWS Firewall Manager コンソール、または AWS Firewall Manager と統合するパートナーソリューションを通じて、ステートレスアクセスコントロールリスト (ACL)、ステートフルインスペクション、侵入防御システム (IPS) などのさまざまなルールタイプを使用して設定とポリシーを一元的に構築できます。AWS Network Firewall は AWS マネージドサービスであるため、AWS がスケール、可用性、回復力、ソフトウェアの更新を管理します。

はい。AWS Network Firewall はリージョンレベルのサービスであり、組織およびアカウントレベルでネットワークトラフィックを保護します。複数のアカウントにわたってポリシーやガバナンスを管理するには、AWS Firewall Manager を利用することをお勧めします。

AWS Network Firewall ポリシーは、ファイアウォールのモニタリングと保護の動作を定義します。その動作の詳細は、ポリシーに追加するルールグループまたは特定のデフォルトポリシー設定で定義されます。ファイアウォールポリシーを使用するには、そのポリシーを 1 つ以上のファイアウォールに関連付けます。

ルールグループは、ネットワークトラフィックを検査およびフィルタリングするための再利用可能なファイアウォールルールのセットです。ステートレスルールグループまたはステートフルルールグループを使用して、ファイアウォールポリシーのためにトラフィックインスペクション基準を設定できます。独自のルールグループを作成することも、AWS Marketplace の販売者が管理するルールグループを使用することもできます。詳細については、「AWS Network Firewall デベロッパーガイド」をご覧ください。

AWS Network Firewall は、ステートレスルールとステートフルルールの両方をサポートしています。ステートレスルールは、送信元と宛先の IP アドレス、ポート、またはプロトコルに基づくことができるネットワークアクセスコントロールリスト (ACL) で構成されます。ステートフルルールは、送信元と宛先の IP アドレス、ポート、プロトコルによって定義されますが、接続またはセッションの存続期間を通じて接続またはセッションを維持および保護するという点でステートレスルールとは異なります。

AWS Network Firewall は、事前設定済みの保護機能を提供するマネージドルールも提供しています。これらのルールは、AWS または AWS パートナーのいずれかによって管理されます。AWS パートナーによって管理されるルールは、AWS Marketplace を通じてサブスクライブできます。

AWS マネージドルールは、AWS グローバル脅威インテリジェンスを活用して、アクティブな脅威から自動的に保護する Active Threat Defense に加えて、ドメイン、IP、脅威シグネチャのマネージドルールグループを提供します。

パートナーマネージドルールは、AWS Network Firewall ポリシーに簡単に統合できる厳選されたルールを提供します。これらのルールは、複数のユースケースからクラウドワークロードを保護するのに役立ちます。

これらの各ルールタイプをファイアウォールポリシー内で組み合わせることで、セキュリティニーズに合わせた包括的な保護を構築できます。

さらなる分析と調査のために、AWS Network Firewall のアクティビティを Amazon S3 バケットにログ記録できます。また、Amazon Kinesis Firehose を利用して、サードパーティープロバイダーにログを送信することもできます。

はい。ネイティブ統合機能を使用するか、または VPC 内に AWS Network Firewall をデプロイしてから、その VPC を TGW に手動でアタッチすることができます。この設定の詳細については、ブログ記事「AWS Network Firewall のデプロイモデル」をご覧ください。

AWS Network Firewall は既に AWS Gateway Load Balancer を使用してファイアウォールエンドポイントに弾力的なスケーラビリティを提供しており、別途統合する必要はありません。これは、「gateway_load_balancer_endpoint」タイプを使用するファイアウォールエンドポイントの Elastic Network Interface (ENI) を確認することで観測できます。

AWS Network Firewall の料金は、デプロイされているファイアウォールの数と検査したトラフィックの量に基づきます。ファイアウォールを複数の VPC に関連付ける場合、インスペクション VPC のプライマリファイアウォールエンドポイントについて、リージョンおよび AZ ごとに標準の時間料金をお支払いいただきます。そのファイアウォールに関連付けられた追加の各セカンダリエンドポイントについて、リージョンおよび AZ ごとに、それよりも低い時間料金をお支払いいただきます。また、ファイアウォールで処理されたトラフィック量に対して、リージョンおよび AZ ごとにギガバイト単位で課金されます。複数のエンドポイントに関する詳細なコスト情報については、「AWS Network Firewall の料金」にアクセスしてください。

AWS Network Firewall は、HTTPS (SNI)/HTTP プロトコルの URL フィルタリング、アクセスコントロールリスト (ACL)、DNS クエリ、プロトコル検出といったアウトバウンドトラフィックコントロールをサポートしています。

AWS Network Firewall は、AZ ごとに最大 100 Gbps の帯域幅まで自動的にスケールアップします。100 Gbps の帯域幅は、関連付けられているすべての VPC エンドポイントで共有されるため、お客様は、デプロイを計画する際に、想定されるトラフィック量の合計を考慮する必要があります。単一のエンドポイントがオーバーサブスクライブされると、パフォーマンスに影響が及ぶ可能性があります。サービスがパフォーマンスに関する期待レベルを確実に満たすようにするため、お客様がルールを使用して独自のテストを実施することをお勧めします。

ファイアウォール所有者アカウントは、インスペクションファイアウォールと、各 AZ のファイアウォールに関連付けられたセカンダリエンドポイントについて請求されます。クロスアカウントエンドポイントの関連付けを含む、関連付けられたすべてのプライマリエンドポイントとセカンダリエンドポイントの料金については、ファイアウォール所有者のみが請求されます。

AWS Network Firewall は、暗号化されたトラフィックのディープパケット検査をサポートしています。

AWS Network Firewall のログは、Amazon S3、Amazon Kinesis Data Firehose、および Amazon CloudWatch にネイティブに保存できます。各 VPC エンドポイントでは、受信パケット、ドロップされたパケット、無効なドロップされたパケット、その他のドロップされたパケット、および通過したパケットというメトリクスを使用することができます。

AWS Network Firewall の TLS インスペクションは、Amazon VPC コンソールまたは Network Firewall API から設定できます。設定は 3 つのステップで完了します。AWS Network Firewall サービスのドキュメントのステップに従って、1) 証明書とキーをプロビジョニングし、2) TLS インスペクション設定を作成して、3) その設定をファイアウォールポリシーに適用します。

このサービスは TLS バージョン 1.1、1.2、1.3 をサポートしています。なお、暗号化クライアント hello (ECH) と暗号化 SNI (ESNI) は対象外です。

AWS Network Firewall は、AWS Certificate Manager (ACM) がサポートするすべての暗号スイートをサポートしています。詳細については、サービスドキュメントの TLS インスペクションの考慮事項をご覧ください。

AWS Network Firewall の料金は、デプロイされているファイアウォールの数と検査したトラフィックの量に基づきます。イングレス TLS インスペクションのコストの詳細については、「AWS Network Firewall の料金」にアクセスしてください。

この新機能のリリースでは、現在の AWS Network Firewall の帯域幅のパフォーマンスが維持されることを想定しています。サービスがパフォーマンスに関する期待レベルを確実に満たすようにするため、お客様がルールセットを使用して独自のテストを実施することをお勧めします。

AWS マネジメントコンソール、AWS CLI、または AWS SDK を使用して、AWS Network Firewall で Active Threat Defense マネージドルールグループを有効にできます。AWS Network Firewall では、ファイアウォールポリシーを作成または更新するときに、AWS マネージドルールグループのドロップダウン内で Active Threat Defense ルールグループを選択できます。追加すると、ファイアウォールポリシー内に Active Threat Defense マネージドルールグループが自動的に表示されます。アラートや拒否などのサポートされている強制適用モードでルールグループをさらに設定できます。

AWS Network Firewall の Active Threat Defense マネージドルールグループは、既存のドメイン、IP、および脅威シグネチャマネージドルールグループといくつかの点で異なります。主に、Active Threat Defense ルールは Amazon 脅威インテリジェンスに基づいています。この機能は、Amazon 脅威インテリジェンスによって特定されたアクティブな脅威に対する迅速な保護に重点を置いています。アクティブな脅威が特定されると、AWS Network Firewall は、自動的にマネージドルールを適用して、脅威をブロックします。Active Threat Defense は、他のマネージドルールグループを補完するように設計されており、追加の保護レイヤーを提供します。

AWS Network Firewall は Amazon CloudWatch とシームレスに統合し、ルールの一致やパフォーマンスメトリクスを追跡するのに役立つ包括的なログ記録およびモニタリング機能を提供します。Network Firewall コンソールの Active Threat Defense マネージドルールグループセクションを通じて、インジケーターグループ、インジケータータイプ、緩和対象の特定の脅威名など、セキュリティ体制について強化された可視性を得ることができます。 

はい。ファイアウォールポリシーで Active Threat Defense ルールグループが有効になっている場合、ファイアウォールエンドポイントによって処理されたトラフィック量に対して追加料金が発生します。このトラフィックは、リージョンおよびアベイラビリティーゾーンごとにギガバイト単位で請求されます。      

Active Threat Defense マネージドルールグループは、15,000 個という固定ルールキャパシティを使用しますが、デフォルトの合計制限は、リージョン内のファイアウォールポリシーあたり 30,000 個のステートフルルールです。追加料金なしで、アカウントレベルでステートフルルールのクォータの引き上げをリクエストできます。AWS Network Firewall クォータの詳細とステートフルルール上限の引き上げをリクエストする方法については、サービスドキュメントを参照してください。