AWS Network Firewall のアイコン

AWS Network Firewall

VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス

約 2 分で読めます

何ができるか

AWS Network Firewall は、VPC 内のネットワークトラフィックを検査・フィルタリングするフルマネージドのファイアウォールサービスです。ステートフルおよびステートレスなパケットフィルタリング、侵入検知・防止 (IDS/IPS)、Web フィルタリングなどの機能を提供します。Suricata 互換のルールエンジンを搭載しており、既存のオンプレミスファイアウォールルールを移行することも可能です。トラフィック量に応じて自動的にスケールするため、容量計画は不要です。

どのような場面で使うか

VPC 間のトラフィック制御、インターネットへの送信トラフィックのフィルタリング、既知の悪意あるドメインへのアクセスブロック、コンプライアンス要件に基づくネットワーク監査、マルウェア通信の検知と遮断、マルチアカウント環境での一元的なネットワークセキュリティ管理など、ネットワークレベルのセキュリティ強化が必要な場面で活用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

ビルの警備員に例えるとわかりやすいでしょう。セキュリティグループが各部屋のドアロック (ポート単位の制御) だとすれば、Network Firewall はビルの入口に立つ警備員です。入退館者の身分証 (パケットの内容) を確認し、不審者 (悪意あるトラフィック) を検知してブロックします。警備員の人数はビルの混雑度に応じて自動的に増減します。

Network Firewall とは

AWS Network Firewall は、VPC レベルでネットワークトラフィックを検査・制御するサービスです。セキュリティグループや NACL (ネットワーク ACL) が IP アドレスやポート番号に基づく基本的なフィルタリングを提供するのに対し、Network Firewall はパケットの内容 (ペイロード) まで検査するディープパケットインスペクション (DPI) が可能です。これにより、アプリケーション層の脅威やプロトコルの異常を検知できます。AWS Firewall Manager と統合することで、複数アカウント・複数 VPC にまたがるファイアウォールポリシーを一元管理できます。

ルールエンジンと検査機能

Network Firewall のルールエンジンは、ステートレスルールとステートフルルールの 2 層構造で動作します。ステートレスルールは 5 タプル (送信元 IP、宛先 IP、送信元ポート、宛先ポート、プロトコル) に基づく高速なフィルタリングを行います。ステートフルルールは Suricata 互換の IPS ルール形式をサポートし、TLS の SNI (Server Name Indication) に基づくドメインフィルタリングや、HTTP ヘッダーの検査、プロトコルアノマリの検知が可能です。AWS が提供するマネージドルールグループを利用すれば、最新の脅威インテリジェンスに基づくルールを簡単に適用できます。

デプロイアーキテクチャ

Network Firewall は専用のファイアウォールサブネットにエンドポイントとしてデプロイされます。VPC のルートテーブルを設定して、検査対象のトラフィックをファイアウォールエンドポイント経由でルーティングします。Transit Gateway と組み合わせることで、ハブアンドスポーク型のアーキテクチャで複数 VPC のトラフィックを集中検査することも可能です。ファイアウォールのログは S3、CloudWatch Logs、Kinesis Data Firehose に出力でき、セキュリティ監査やインシデント調査に活用できます。

Azure・オンプレミスとの比較

Azure の対応サービス Azure Firewall
オンプレミスでの対応手段 Palo Alto Networks、Fortinet FortiGate

AWS の優位点

  • Suricata 互換のルールエンジンを搭載しており、既存のオンプレミス IDS/IPS ルールをそのまま移行でき、セキュリティポリシーの継続性を確保できる
  • AWS Firewall Manager との統合により、数百のアカウントと VPC にまたがるファイアウォールポリシーを単一のコンソールから一元管理できる
  • トラフィック量に応じた自動スケーリングにより、容量計画やハードウェアの増設が不要で、突発的なトラフィック増加にも即座に対応できる

注意点

  • セキュリティグループと NACL で十分な場合は Network Firewall を追加する必要はなく、ディープパケットインスペクションや IDS/IPS が必要な場合に導入を検討すること
  • ファイアウォールエンドポイントは AZ ごとに作成されるため、マルチ AZ 構成ではエンドポイント数に応じたコストが発生する点に注意すること

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

Amazon Cognito Web やモバイルアプリにユーザー認証・認可機能を簡単に追加できるサービス Amazon Detective セキュリティインシデントの根本原因を迅速に調査・分析できるセキュリティ調査サービス Amazon GuardDuty AWS 環境への脅威を機械学習で自動検知するマネージド脅威検出サービス AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス Amazon Inspector EC2 インスタンスやコンテナイメージの脆弱性を自動的に検出するセキュリティ評価サービス AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie S3 バケット内の機密データを機械学習で自動検出・分類するデータセキュリティサービス AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス