セキュリティ

AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリング

ステートフル/ステートレスルールとドメインフィルタリングで VPC トラフィックを制御する。Suricata 互換ルールとマネージドルールの活用を紹介します。

約 1 分で読めます

Network Firewall の位置づけとセキュリティグループとの違い

Network FirewallVPC 内のトラフィックをインラインで検査するマネージドファイアウォールサービスです。セキュリティグループが ENI レベルの L3/L4 フィルタリングに限定されるのに対し、Network Firewall は L7 のアプリケーションプロトコル検査、ドメインベースのフィルタリング、IDS/IPS シグネチャマッチングを提供します。専用のファイアウォールサブネットに配置し、ルートテーブルでトラフィックをファイアウォールエンドポイント経由にルーティングする構成です。インターネットゲートウェイとワークロードサブネットの間に配置することで、インバウンド・アウトバウンドの両方のトラフィックを検査できます。

ルール設計とドメインフィルタリング

ステートレスルールは 5 タプル (送信元/宛先 IP、送信元/宛先ポート、プロトコル) でマッチングし、パス、ドロップ、ステートフルルールへの転送を指定します。ステートフルルールは接続の状態を追跡し、Suricata 互換の形式で L7 の検査ルールを記述できます。ドメインリストフィルタリングは、HTTP の Host ヘッダーや TLS の SNI (Server Name Indication) を検査して、許可リストまたは拒否リストに基づくフィルタリングを実行します。アウトバウンドトラフィックを許可リスト方式で制御し、業務に必要なドメインのみへの通信を許可する構成が、データ流出防止に有効です。

マネージドルールと運用

AWS Managed Rule Groups は既知の脅威シグネチャを含むルールセットで、 AWS が自動的に更新します。マルウェアの C2 通信パターン、既知の悪意あるドメイン、一般的な攻撃シグネチャをカバーしています。ファイアウォールのログは CloudWatch Logs 、 S3 、 Kinesis Data Firehose に送信でき、アラートログ (ルールにマッチしたトラフィック) とフローログ (全トラフィック) を分離して保存できます。 Firewall Manager を使用すると、 Organizations 内の全アカウントに統一的なファイアウォールポリシーを適用し、新しいアカウントや VPC が作成された際にも自動的にポリシーが適用されます。 ネットワークセキュリティについて体系的に学びたい方は、関連書籍 (Amazon)も参考になります。

Network Firewall の料金

Network Firewall の料金はファイアウォールエンドポイントの時間課金とデータ処理量で構成されます。エンドポイントは 1 AZ あたり約 0.395 ドル/時 (月額約 284 ドル) で、マルチ AZ 構成では AZ 数分のコストがかかります。データ処理は 1 GB あたり約 0.065 ドルです。2 AZ 構成で月間 1 TB のトラフィックを処理する場合、月額約 633 ドル (エンドポイント 568 ドル + データ処理 65 ドル) です。セキュリティグループと NACL で対応できるフィルタリングは Network Firewall を使わず、L7 検査が必要なトラフィックのみを Network Firewall に通す設計でコストを最適化します。

まとめ

Network Firewall はセキュリティグループでは対応できない L7 レベルのトラフィック検査を提供するマネージドファイアウォールです。ドメインフィルタリングと Suricata 互換ルールで高度な脅威防御を実現し、Firewall Manager で組織全体に統一ポリシーを適用できます。

関連するサービス

AWS Network FirewallVPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービスAmazon VPCAWS 上に論理的に分離された仮想ネットワークを構築するサービスAWS Firewall ManagerAWS Organizations 全体のファイアウォールルールを一元管理するサービス

関連する記事

Amazon Inspector で脆弱性を自動スキャン - EC2、Lambda、ECR の継続的セキュリティ評価EC2 インスタンス、ECR コンテナイメージ、Lambda 関数の脆弱性を自動スキャンし、CVE ベースのリスクスコアで優先順位を付ける。Systems Manager エージェントとの統合でエージェントレススキャンも実現する方法を解説します。AWS Verified Access で実現するゼロトラストアクセス - VPN 不要のアプリケーション接続VPN を排除し、ユーザー ID とデバイスのセキュリティ状態を毎回検証するゼロトラストアクセスを実現する。Cedar ポリシーによるきめ細かい制御を紹介します。AWS WAF の Bot Control と不正防止 - ボット対策とアカウント乗っ取り防止の実装Bot Control でスクレイパーや自動化ツールを検出し、ATP でクレデンシャルスタッフィングを防止する。チャレンジと CAPTCHA のユーザー体験設計も紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

ネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。AWS Network FirewallVPC のトラフィックをステートフルに検査し、侵入防止やドメインフィルタリングを行うマネージドネットワークファイアウォールサービスVPC 内のサブネットレベルでインバウンドとアウトバウンドの両方のトラフィックルールを明示的に設定する必要があるファイアウォール機能はどれですか?AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。