AWS Network Firewall と NAT ゲートウェイの配置
はじめに
AWS Network Firewall(以下 NWFW)の導入例を探してアーキテクチャ図を眺めていると,説明されている図によって NAT ゲートウェイ(以下 NATGW)との配置がまちまちであることに気づきます。
つまり,プライベート・パブリックサブネットのシンプルな構成の場合,インターネット宛ての通信経路は大別すると
- プライベートサブネット→ NATGW→ NWFW →インターネット
- プライベートサブネット→ NWFW → NATGW →インターネット
の2種類が存在します。
それぞれのアーキテクチャの違いと,どちらを選定すべきかの指針についてまとめます。
1. NATGW → NWFW
こちらはプライベートサブネットからの通信が NATGW で集約されて NWFW に入り,検査が通ったパケットがインターネットに出るアーキテクチャです。
NATGW で集約されるので,NWFW からは送信元 IP アドレスが NATGW に集約されてしまいます。
また,NWFW での拒否に関わらずすべての通信が NATGW を経由するので,若干コストが高くなります。
記事例:AWS Network Firewallのデプロイモデル
2. NWFW → NATGW
こちらはプライベートサブネットからの通信を先に NWFW で受けて,許可されたもののみ NATGW を通してインターネットに出るアーキテクチャです。
NWFW からは送信元 IP アドレスが見えるようになります。
また NWFW で拒否された通信は NATGW に到達しないので,その分の通信量が抑えられ,コストが若干下がります。ただし拒否された通信が多くなければそんなに変わりません。
記事例:AWS Network Firewall 応用編1[1]
MSR の登場により可能に
実はこちらは2021年9月に登場した Amazon VPC の新機能 More specific routing (MSR) で,ルートテーブルに VPC の CIDR よりも細かい CIDR を指定できるようになったため,実現されるようになりました。こちらのアーキテクチャを紹介している記事はすべて MSR 登場以降です。
今までバイパスされてしまったものが,CIDR を細かく指定することで NWFW を通る経路になり,NWFW での統制を効かせることができます。
選定指針
以上より,送信元 IP アドレスの特定,コストの両方の観点から,2 のアーキテクチャが優れているので,まずはこちらを検討するとよいといえます。
MSR 登場前の記事はすべて 1 ですし,Network Firewall の公式ドキュメントでさえも 1 なので,参考にする場合は注意する必要があります。
-
応用編2がリリースされない… ↩︎
Discussion