【AWS Network Firewall】AWSの基礎を学ぼう おさらい
概要
「AWS エバンジェリストシリーズ AWSの基礎を学ぼう」で”AWS Network Firewall のおさらい”のイベントに参加した感想ページです。
「AWS エバンジェリストシリーズ AWSの基礎を学ぼう」とは
以下、Connpassページより引用
Amazon Web Services (AWS)は現在200を超えるサービスを提供し、日々サービスの拡充を続けています。
このAWS エバンンジェリストシリーズでは週次でAWSのサービスをひとつづつ取り上げながらその基礎を説明していく 初心者、中級者をターゲットとした講座です。午後の仕事前にスキルアップを一緒にしませんか?
注意点 登壇者による発表内容はアマゾン ウェブ サービス ジャパンとして主催しているものではなく、コミュニティ活動の一環として勉強会の主催を行っているものです。
毎週ありがとうございます!
整理
AWS Network Firewallって何?
https://aws.amazon.com/jp/network-firewall
AWS Network Firewall は、すべての Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。このサービスは、数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張されるため、インフラストラクチャのデプロイと管理について心配する必要はありません。AWS Network Firewall の柔軟なルールエンジンを使用すると、アウトバウンドサーバーメッセージブロック (SMB) リクエストをブロックして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックを詳細まで制御できるファイアウォールルールを定義できます。また、一般的なオープンソースルール形式で既に作成したルールをインポートして、AWS パートナーが提供するマネージドインテリジェンスフィードを統合することも可能です。AWS Network Firewall は AWS Firewall Manager と連携するため、AWS Network Firewall ルールに基づいてポリシーを構築し、それらのポリシーを VPC とアカウント全体に一元的に適用できます。
料金
https://aws.amazon.com/jp/network-firewall/pricing/
- Network Firewall Endpoint $0.395/hr
- Network Firewall Traffic Processing $0.065/GB
- NAT gateway Pricing 1時間ごとに追加費用なしで1時間と1GBのNATゲートウェイを使用し、ネットワークファイアウォールエンドポイントにGBを課金します。
$0.395/hr * 24h * 30day = $284.4(約3万円)
個人で試すにはそれなりに高いですね
WAFとNetwork Firewallとセキュリティグループの違い
WAF
- 紐付け先 :
- CloudFront
- Application Load Balancer
- Amazon API Gateway
- AWS AppSync
- 機能
- 悪意のあるリクエストブロック
- カスタムルールに基づいたWebトラフィックのフィルタ
- モニタリングとチューニング
- レイヤー
- レイヤー7(アプリケーション層)
Network Firewall
- 紐付け先 : VPC(Subnet)
- 機能
- パケットフィルタリング
- 見える化&レポート
- 一元でポリシー管理・リアルタイム監視
- パブリック、プライベートとは違う、所謂DMZのサブネットが作れる。
- レイヤー
- レイヤー3、4(ネットワーク層、トランスポート層)
セキュリティグループ/ネットワークACL
- 紐付け先 :
- EC2
- RDS
- Subnet
- 機能
- プロトコル、IPでのDeny,Allow設定
- レイヤー
- レイヤー3、4(ネットワーク層、トランスポート層)
WAFとの違いはレイヤーの違いで良いのかな
セキュリティグループやNACLの違いは見える化や一元管理、あとはNetwork Firewallの方が複雑・詳細に設定きるかな
作ってみる
事前準備
AWSの構成図
外部からWEBにアクセスできることを確認
Firewall使う
AWSの構成図
Firewallで作る手順はこんな感じ
どのサブネットに紐付けるのかを設定
ポリシー設定ですが、まず空のポリシー
プロビジョンしているけど、スッテプ2は実施可能
ステートフルとステートレスのルール設定が可能
ステートフルとステートレス
ステートフル
- サーバがクライアントのセッションの状態を保持している.
- セキュリティグループの設定ではこちら
ステートレス
- サーバがクライアントのセッションの状態を保持しない.
- NACLの設定ではこちら
5-tupleで設定してみる
WEBアクセス時のクライアントが送信元で良いのかしら・・・
httpはアラートして、sshはドロップする
DMZサブネットはインターネットゲートウェイに流すように設定
パブリックサブネットはファイアフォールエンドポイントに流すように設定
ちなみにエンドポイントがどこにあるか悩んだけど、ファイアウォールの設定画面にありますん。
ではアクセスしてみる。。。できねぇ。。。
モニタリングは動いてますね。
困った時のReachability Analyzer
インスタンスとIGWは繋がっていますか?
繋がってねぇ。 パブリックサブネットのルートテーブルを見直してね とメッセージ
インスタンスとFirewall Endpointは繋がっていますか?
Firewall Endpointはサポート外やって!!
・・・続きは後日。
Discussion