セキュリティ

AWS Network Firewall

VPC のトラフィックをステートフルに検査し、侵入防止やドメインフィルタリングを行うマネージドネットワークファイアウォールサービス

約 2 分で読めます

概要

AWS Network Firewall は、VPC 内のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービスです。セキュリティグループや NACL では対応できない高度なトラフィック検査 (ステートフルインスペクション、侵入検知・防止、ドメインベースのフィルタリング、TLS インスペクション) を提供します。Suricata 互換のルールエンジンを採用しており、既存の IDS/IPS ルールセットを移行できます。Transit Gateway や Gateway Load Balancer と組み合わせて、マルチ VPC 環境の集中型ファイアウォールとして運用できます。

ステートレスルールとステートフルルールの 2 段構成

Network Firewall のルールは、ステートレスルールグループとステートフルルールグループの 2 種類で構成されます。ステートレスルールは IP アドレス、ポート、プロトコルに基づく単純なフィルタリングで、NACL に近い動作をします。ステートフルルールはコネクションの状態を追跡し、Suricata 互換の 5-tuple ルール、ドメインリストルール、Suricata IPS ルールの 3 形式で記述できます。Suricata ベースのルールエンジンを採用しているため、Emerging Threats や Snort コミュニティが公開するオープンソースの IDS/IPS ルールセットをそのまま利用できます。Azure Firewall は独自のルールエンジンを採用しており、こうしたオープンソースルールの直接インポートには対応していません。実務では、ステートレスルールで明らかに不要なトラフィック (既知の悪意ある IP レンジ) を先にドロップし、残りのトラフィックをステートフルルールで詳細に検査する 2 段構成が推奨されます。

ドメインフィルタリングと TLS インスペクション

Network Firewall のドメインリストルールは、特定のドメインへの HTTP/HTTPS 通信のみを許可する用途で強力です。外部 API への通信を制限する場合や、マルウェアの C2 (Command and Control) 通信をブロックする場合に有効です。HTTP 通信では Host ヘッダー、HTTPS 通信では TLS の SNI (Server Name Indication) フィールドを検査してドメインを判定します。TLS インスペクション機能を有効にすると、暗号化されたトラフィックの中身まで検査できますが、ACM (AWS Certificate Manager) で管理する CA 証明書を使って通信を復号・再暗号化するため、クライアント側に CA 証明書を信頼させる設定が必要です。ネットワークセキュリティの書籍 (Amazon) で体系的に学べます。

集中型インスペクション VPC と Firewall Manager による組織展開

Network Firewall の最も一般的なデプロイパターンは、集中型インスペクション VPC です。Transit Gateway のルーティングで全 VPC のインターネット向けトラフィックをインスペクション VPC 経由に集約し、Network Firewall で一元的に検査します。この構成により、各 VPC に個別のファイアウォールを配置する必要がなくなり、ルール管理が集約されます。Firewall Manager と組み合わせると、Organizations 内の全アカウントに統一的なファイアウォールポリシーを適用でき、新規 VPC が作成された際にも自動的にファイアウォールが配置されます。コスト面の注意点として、ファイアウォールエンドポイントは AZ ごとに作成する必要があり、3 AZ 構成では 3 つのエンドポイント分の固定料金が発生します。加えてトラフィック処理量の従量課金もあるため、大量のトラフィックを処理する環境ではコストが無視できません。セキュリティグループと NACL で十分な要件であれば、Network Firewall を導入せずに済むケースもあります。

共有するXB!

関連する用語

Amazon VPCAWS WAFAmazon GuardDutyAWS IAM

関連するサービス

Amazon VPCAWS WAFAWS Transit Gateway

関連する記事

AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。AWS Transit Gateway で構築するハブ&スポークネットワーク - マルチ VPC 接続の設計ハブ&スポーク型で複数 VPC とオンプレミスを集約し、ルートテーブル分離でセキュリティ境界を確立する。ピアリングによるマルチリージョン接続も紹介します。VPC のデフォルト CIDR /16 はなぜ /16 なのか - IP アドレス設計の雑学と落とし穴VPC のデフォルト CIDR が /16 に設定されている理由、RFC 1918 のプライベートアドレス空間の歴史、サブネットで使えない 5 つの IP アドレス、CIDR 設計の失敗パターンを雑学的に解説します。AWS App Runner で最速のコンテナデプロイ - ソースコードから本番環境まで数分でソースコードまたはコンテナイメージを指定するだけで HTTPS エンドポイントが構築される。ECS/Fargate との違いと、VPC コネクタによるプライベートリソース接続を紹介します。AWS の Availability Zone 設計 - 物理的分離と障害隔離が生む信頼性の差AWS の AZ が物理的に独立したデータセンター群である設計思想を、Azure・GCP の可用性ゾーンと比較し、実際の障害事例から障害隔離の成熟度の違いを解説します。

内容が近い用語・記事

AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリングステートフル/ステートレスルールとドメインフィルタリングで VPC トラフィックを制御する。Suricata 互換ルールとマネージドルールの活用を紹介します。ネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。AWS Network FirewallVPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービスAWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。AWS Firewall ManagerOrganizations 配下の複数アカウント・リソースに対して WAF、Shield Advanced、Security Group、Network Firewall のルールを一元的に適用・管理するセキュリティ管理サービス