AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリング

ステートフル/ステートレスルールとドメインフィルタリングで VPC トラフィックを制御する。Suricata 互換ルールとマネージドルールの活用を紹介します。

Network Firewall の位置づけとセキュリティグループとの違い

Network FirewallVPC 内のトラフィックをインラインで検査するマネージドファイアウォールサービスです。セキュリティグループが ENI レベルの L3/L4 フィルタリングに限定されるのに対し、Network Firewall は L7 のアプリケーションプロトコル検査、ドメインベースのフィルタリング、IDS/IPS シグネチャマッチングを提供します。専用のファイアウォールサブネットに配置し、ルートテーブルでトラフィックをファイアウォールエンドポイント経由にルーティングする構成です。インターネットゲートウェイとワークロードサブネットの間に配置することで、インバウンド・アウトバウンドの両方のトラフィックを検査できます。オンプレミスでは Palo Alto Networks や Fortinet の次世代ファイアウォールが同等の機能を提供しますが、Network Firewall はマネージドサービスとしてハードウェア調達やファームウェア更新が不要で運用コストを大幅に削減できます。

ルール設計とドメインフィルタリング

ステートレスルールは 5 タプル (送信元/宛先 IP、送信元/宛先ポート、プロトコル) でマッチングし、パス、ドロップ、ステートフルルールへの転送を指定します。大量のトラフィックを高速に処理する用途に適しています。ステートフルルールは接続の状態を追跡し、Suricata 互換の IPS ルール、ドメインリストルール、5 タプルルールの 3 形式をサポートします。ドメインリストフィルタリングは、HTTP の Host ヘッダーや TLS の SNI (Server Name Indication) を検査して、許可リストまたは拒否リストに基づくフィルタリングを実行します。TLS SNI 検査により暗号化された HTTPS トラフィックのドメインフィルタリングも可能です。アウトバウンドトラフィックを許可リスト方式で制御し、業務に必要なドメインのみへの通信を許可する構成が、データ流出防止に有効です。

WAF との多層防御アーキテクチャ

Network FirewallAWS WAF を組み合わせることで、ネットワークレイヤーからアプリケーションレイヤーまでの包括的な多層防御を構築できます。Network Firewall は VPC のサブネットレベルで動作しすべてのインバウンド/アウトバウンドトラフィックを検査します。WAF は CloudFront、ALB、API Gateway の前段で動作し、SQL インジェクション、XSS、レートベースのルールによるアプリケーション層の保護を提供します。Transit Gateway と組み合わせた集中型ファイアウォールアーキテクチャでは、複数の VPC のトラフィックを 1 つの Network Firewall エンドポイントに集約し、一元的なセキュリティポリシーを適用できます。

マネージドルールと組織全体のガバナンス

AWS Managed Rule Groups は既知の脅威シグネチャを含むルールセットで、AWS が自動的に更新します。マルウェアの C2 通信パターン、既知の悪意あるドメイン、ボットネットとの通信パターンをカバーしています。Firewall Manager を使用すると、Organizations 内の全アカウントに統一的なファイアウォールポリシーを適用し、新しいアカウントや VPC が作成された際にも自動的にポリシーが適用されます。Network Firewall と WAF のポリシーを一括管理することで、組織全体のセキュリティガバナンスを確保できます。 ネットワークセキュリティについて体系的に学びたい方は、関連書籍 (Amazon)も参考になります。

ログ分析と脅威インテリジェンス連携

Network Firewall はアラートログとフローログを S3、CloudWatch Logs、Kinesis Data Firehose に出力できます。アラートログには IPS ルールに一致したトラフィックの詳細情報が記録され、セキュリティインシデントの調査に活用できます。フローログはすべてのトラフィックのメタデータを記録し、ネットワークの可視化と異常検知に利用します。これらのログを OpenSearch Service に集約しダッシュボードで可視化することで、リアルタイムのセキュリティモニタリングを実現できます。GuardDuty の脅威検知結果と連携し、検知された脅威の IP アドレスを自動的にブロックリストに追加するワークフローも構築可能です。LambdaEventBridge を組み合わせた自動対応により、脅威の検知から遮断までの時間を最小化できます。

Network Firewall の料金

Network Firewall の料金はファイアウォールエンドポイントの時間課金とデータ処理量で構成されます。エンドポイントは 1 AZ あたり約 0.395 ドル/時 (月額約 284 ドル) で、マルチ AZ 構成では AZ 数分のコストがかかります。データ処理は 1 GB あたり約 0.065 ドルです。2 AZ 構成で月間 1 TB のトラフィックを処理する場合、月額約 633 ドル (エンドポイント 568 ドル + データ処理 65 ドル) です。セキュリティグループと NACL で対応できるフィルタリングは Network Firewall を使わず、L7 検査が必要なトラフィックのみを Network Firewall に通す設計でコストを最適化します。

まとめ

Network Firewall はセキュリティグループでは対応できない L7 レベルのトラフィック検査を提供するマネージドファイアウォールです。Suricata 互換ルールとドメインフィルタリングで高度な脅威防御を実現し、WAF との多層防御で包括的なセキュリティ体制を構築できます。GuardDuty との脅威インテリジェンス連携で自動遮断を実現し、Firewall Manager で組織全体に統一ポリシーを適用できます。