AWS Network Firewall Workshop
kenryoINTRODUCTION
AWS Network Firewallは高可用でマネージドなVPC用のネットワークファイアウォールサービスです。
VPCを保護するため、ステートフルインスペクション、侵入防御・検知、Webフィルタリングを簡単に導入・管理することができます。
AWS Network Firewallは、お客様のトラフィックに合わせて自動的に拡張されるため、セキュリティインフラに追加投資することなく、高可用性を確保できます。
kenryoKEY CONCEPTS
AWS Network Firewallには3つのキーとなるコンポーネントがあります。
- ルールグループ
トラフィックを検査し、検査基準に一致するパケットおよびトラフィックフローを処理するための再利用可能な基準を保持します。 - ポリシー
再利用可能なステートレスおよびステートフルなルールグループのセットと、ポリシーレベルの動作設定を定義します。 - ファイアウォール
ファイアウォールポリシー内の検査ルールと、そのルールが保護するVPCを接続します。各ファイアウォールには、1つのファイアウォールポリシーが必要です。
ファイアウォールは、ネットワークトラフィックに関する情報をログに記録する方法や、ファイアウォールのステートフルトラフィックフィルタリングなどの設定も定義します。
kenryoDISTRIBUTED DEPLOYMENT MODEL
分散配置モデルは、保護が必要な各VPCにAWS Network Firewallを配置します。各VPCは個別に保護され、VPC分離により爆風半径を小さくすることができます。
各AWS Network Firewallは、個別にポリシーを持つか、共通のルールグループを複数のFirewall間で共有することができます。これにより、各AWS Network Firewallを独立して管理することができ、設定ミスの可能性を低減し、影響範囲を限定することができます。
ユースケースは以下です。
- パブリックサブネットにあるワークロード(EC2インスタンスなど)とインターネット間のトラフィックを保護する。
- パブリックサブネットにあるAWSサービス(ALB、NLBなど)とインターネット間のトラフィックを保護/フィルタリングする。
上図にあるように、AWS Network Firewallは、IGWにアクセスできる専用のFirewallサブネットに配置されます。IGWから戻ってきたトラフィックは、IGWに接続されているIngress Routingテーブルを使ってENIに戻されます。
専用のパブリックサブネットに配置されたNATゲートウェイにより、プライベートサブネットのインスタンスはインターネット上のリソースと通信することができます。
kenryoCENTRALIZED DEPLOYMENT MODEL
集中型導入モデルの場合、AWS Transit Gatewayが前提になります。AWS Transit Gatewayはネットワークハブとして機能し、VPC間やオンプレミスネットワークとの接続を簡単にします。
また、AWS Transit Gatewayは他のTransit Gatewayとのリージョン間ピアリング機能を提供し、AWSバックボーンを利用したグローバルネットワークを構築することができます。
集中型導入モデルで導入されたAWS Network Firewallは、以下のユースケースをカバーします。
- VPC間トラフィックインスペクションのためのインスペクションVPC。インスペクションVPCは、各AZ2つのサブネットで構成されます。
- Transit Gatewayアタッチメント用のTransit Gatewayサブネット
- ファイアウォールエンドポイント用のファイアウォールサブネット
- インターネットに出るためのEgress VPC。Egress VPCは、各AZ2つのサブネットで構成されます。
- Transit Gatewayアタッチメント用のTransit Gatewayサブネット
- NATゲートウェイ用のパブリックサブネット
- 2つのスポークVPC。スポークVPC AとスポークVPC Bの2つ。1つのAZにのみリソースが設定されます。
インスペクションVPCの各Transit Gatewayサブネットは、同じAZ内のファイアウォールエンドポイントにトラフィックが転送されるように、専用のVPCルートテーブルを必要とします。
これらのルートテーブルには、同じAZ内のファイアウォールエンドポイントを指すデフォルトルート(0.0.0.0/0)があります。