❤️‍🔥

AWS Network Firewall と NAT ゲートウェイの配置

2023/12/22に公開

はじめに

AWS Network Firewall(以下 NWFW)の導入例を探してアーキテクチャ図を眺めていると,説明されている図によって NAT ゲートウェイ(以下 NATGW)との配置がまちまちであることに気づきます。

つまり,プライベート・パブリックサブネットのシンプルな構成の場合,インターネット宛ての通信経路は大別すると

  1. プライベートサブネット→ NATGW→ NWFW →インターネット
  2. プライベートサブネット→ NWFW → NATGW →インターネット

の2種類が存在します。

それぞれのアーキテクチャの違いと,どちらを選定すべきかの指針についてまとめます。

1. NATGW → NWFW

こちらはプライベートサブネットからの通信が NATGW で集約されて NWFW に入り,検査が通ったパケットがインターネットに出るアーキテクチャです。

NATGW で集約されるので,NWFW からは送信元 IP アドレスが NATGW に集約されてしまいます。

また,NWFW での拒否に関わらずすべての通信が NATGW を経由するので,若干コストが高くなります。

記事例:AWS Network Firewallのデプロイモデル

2. NWFW → NATGW

こちらはプライベートサブネットからの通信を先に NWFW で受けて,許可されたもののみ NATGW を通してインターネットに出るアーキテクチャです。

NWFW からは送信元 IP アドレスが見えるようになります。

また NWFW で拒否された通信は NATGW に到達しないので,その分の通信量が抑えられ,コストが若干下がります。ただし拒否された通信が多くなければそんなに変わりません。

記事例:AWS Network Firewall 応用編1[1]

MSR の登場により可能に

実はこちらは2021年9月に登場した Amazon VPC の新機能 More specific routing (MSR) で,ルートテーブルに VPC の CIDR よりも細かい CIDR を指定できるようになったため,実現されるようになりました。こちらのアーキテクチャを紹介している記事はすべて MSR 登場以降です。

今までバイパスされてしまったものが,CIDR を細かく指定することで NWFW を通る経路になり,NWFW での統制を効かせることができます。

選定指針

以上より,送信元 IP アドレスの特定,コストの両方の観点から,2 のアーキテクチャが優れているので,まずはこちらを検討するとよいといえます。

MSR 登場前の記事はすべて 1 ですし,Network Firewall の公式ドキュメントでさえも 1 なので,参考にする場合は注意する必要があります。

脚注
  1. 応用編2がリリースされない… ↩︎

Discussion