コンテンツにスキップ

AWS Network Firewall

1. サービス概要

AWS Network Firewall は、AWS 環境でネットワークトラフィックを保護するための、フルマネージドでスケーラブルなネットワークファイアウォールサービスである。
ユーザーは、VPC(Virtual Private Cloud)内のトラフィックを詳細に制御し、不正なアクセスや悪意のあるトラフィックをブロックできる。
Network Firewall は、高度な脅威対策、柔軟なルール設定、AWS 環境との統合を提供し、セキュリティ体制を強化する。

主なユースケースとして、

  • VPC 境界の保護
  • インターネットからの悪意のあるトラフィックのブロック
  • VPC 間のトラフィック制御
  • コンプライアンス要件の遵守
  • カスタム脅威インテリジェンスの利用

などが挙げられます。
AWS Network Firewall は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能

2.1 ステートフルファイアウォール

Network Firewall は、ステートフルなパケット検査を行い、トラフィックを詳細に制御できる。
これにより、コネクションの状態を追跡し、双方向の通信を許可または拒否できる。

2.2 柔軟なルール設定

Suricata 互換のルールエンジンを使用し、カスタムルールを定義できる。
ユーザーは、IP アドレス、ポート、プロトコルなどの様々な条件に基づいてルールを作成し、ネットワークトラフィックを詳細に制御できる。

2.3 侵入防止システム (IPS)

悪意のあるネットワークトラフィックを検出し、自動的にブロックできる。
これにより、既知の攻撃パターンや脆弱性を悪用した攻撃からネットワークを保護できる。

2.4 可視性

ファイアウォールのログを CloudWatch Logs に送信し、ネットワークトラフィックを監視できる。
これにより、ネットワークアクティビティの可視性を高め、セキュリティインシデントの分析を容易にできる。

2.5 AWS 環境との統合

Network Firewall は、VPC, Route 53 Resolver, AWS Firewall Manager などの AWS の他のサービスと密接に統合されており、AWS 環境全体のセキュリティを強化できる。

2.6 スケーラビリティ

Network Firewall は、AWS のインフラ上で動作し、トラフィックの増加に応じて自動的にスケールする。
これにより、トラフィックの変動に対応し、安定したネットワークパフォーマンスを維持できる。

2.7 フルマネージドサービス

Network Firewall は、フルマネージドサービスであり、ハードウェアの管理やソフトウェアの更新は AWS が行います。
ユーザーは、インフラストラクチャの管理を行う必要はなく、セキュリティポリシーの設定に集中できる。

3. アーキテクチャおよび技術要素

  1. ユーザーは、Network Firewall エンドポイントを VPC 内に作成。
  2. Network Firewall は、VPC 内のトラフィックを検査し、設定されたルールに基づいてトラフィックを許可または拒否。
  3. 必要に応じて、トラフィックを他のセキュリティデバイスやサービスへルーティング。
  4. Network Firewall は、ログを CloudWatch Logs に送信。
  5. AWS Firewall Manager と連携し、組織全体のファイアウォールポリシーを一元的に管理。

AWS Network Firewall は、AWS のインフラ上に構築されており、高い可用性とスケーラビリティを提供する。
ファイアウォールの管理は AWS が行うため、ユーザーはインフラの管理を行う必要はありません。

4. セキュリティと認証・認可

AWS Network Firewall は、ネットワークトラフィックを安全に保護するために、以下の機能を提供する:

  • IAM 統合: AWS Identity and Access Management (IAM) を利用して、Network Firewall へのアクセスを制御する。
  • VPC 内での実行: Network Firewall は Virtual Private Cloud (VPC) 内で実行され、ネットワーク隔離を実現。
  • データ暗号化: Network Firewall のログデータや設定データは暗号化される。
  • アクセス制御: IAM ポリシーを通じて、ユーザーやグループごとに、Network Firewall の操作権限を詳細に制御できる。
  • ステートフルインスペクション: ネットワークトラフィックを双方向に検査し、セキュリティを確保。

これらのセキュリティ対策により、VPC 内のネットワークトラフィックを安全に保護し、不正アクセスや攻撃から保護する。

5. 料金形態

AWS Network Firewall の料金は主に以下に基づきます:

  • ファイアウォールエンドポイント: 時間単位で課金。
  • 処理されたトラフィック: ファイアウォールを通過したトラフィック量に応じて課金。
  • ルール評価: 設定されたルール数やルール評価の回数に応じて課金。

6. よくあるアーキテクチャ・設計パターン

AWS Network Firewall は、様々なネットワークセキュリティのユースケースに対応できる。
一般的なパターンは以下の通りです:

  • VPC 境界の保護: VPC とインターネット間のトラフィックを検査し、不正なアクセスや攻撃をブロック。
  • インターネットからの悪意のあるトラフィックのブロック: 既知の攻撃パターンや悪意のある IP アドレスからのトラフィックをブロック。
  • VPC 間のトラフィック制御: 複数の VPC 間でやり取りされるトラフィックを制御し、ネットワークセグメンテーションを実現。
  • コンプライアンス要件の遵守: セキュリティポリシーを適用し、業界のコンプライアンス要件を満たす。
  • カスタム脅威インテリジェンスの利用: カスタムルールを作成し、特定の脅威に対抗。
  • ハイブリッドクラウド環境の保護: オンプレミス環境と AWS 環境間のトラフィックを保護。

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS マネジメントコンソールから AWS Network Firewall を開き、ファイアウォールポリシーを作成。
  2. ファイアウォールルールグループを作成し、ルールを設定。
  3. VPC 内に Network Firewall エンドポイントを作成。
  4. VPC ルートテーブルを更新し、トラフィックを Network Firewall エンドポイントへルーティング。
  5. Network Firewall のログを CloudWatch Logs で監視。

8. 試験で問われやすいポイント

8.1 ステートフルファイアウォール

  • 機能: コネクションの状態を追跡し、双方向の通信を許可または拒否。
  • 利用: ネットワークトラフィックを詳細に制御。
  • 試験対策: ステートフルインスペクションの仕組み、メリットが問われる。

8.2 柔軟なルール設定

  • エンジン: Suricata 互換のルールエンジン。
  • 設定: IP アドレス、ポート、プロトコルなどの条件に基づいたカスタムルール。
  • 試験対策: カスタムルールの作成方法、ルールエンジンの特徴が問われる。

8.3 侵入防止システム (IPS)

  • 機能: 悪意のあるネットワークトラフィックを検出し、自動的にブロック。
  • 利用: 既知の攻撃パターンや脆弱性への対策。
  • 試験対策: IPS の仕組み、検出対象が問われる。

8.4 可視性

  • ログ送信先: CloudWatch Logs。
  • 目的: ネットワークトラフィックの監視、セキュリティインシデントの分析。
  • 試験対策: ログの収集、分析方法が問われる。

8.5 料金体系

  • 課金対象: ファイアウォールエンドポイントの利用時間、処理されたトラフィック量、ルール評価。
  • 最適化: 不要なトラフィックの削減、適切なルール設定がコスト削減に有効。
  • 試験対策: 料金体系、課金対象が問われる。

8.6 類似・関連サービスとの比較

  • AWS Security Groups: EC2 インスタンスのセキュリティ設定。Network Firewall は VPC レベルでのファイアウォールを提供。
  • AWS WAF: Web アプリケーションの保護に特化。Network Firewall はネットワークレベルのトラフィック制御。

8.7 試験で頻出となる具体的な問われ方と答え

  • Q: AWS Network Firewall は何を提供するサービスですか?
  • A: AWS 環境でネットワークトラフィックを保護するための、フルマネージドでスケーラブルなネットワークファイアウォールサービスである。
  • Q: AWS Network Firewall は、どのようなトラフィックを制御できるか?
  • A: VPC 内のトラフィックを詳細に制御し、不正なアクセスや悪意のあるトラフィックをブロックできる。
  • Q: AWS Network Firewall のルールは、どのように設定できるか?
  • A: Suricata 互換のルールエンジンを使用して、カスタムルールを定義できる。
  • Q: AWS Network Firewall のログは、どこに送信されるか?
  • A: CloudWatch Logs に送信される。
  • Q: AWS Network Firewall の料金はどのように計算されるか?
  • A: ファイアウォールエンドポイントの利用時間、処理されたトラフィック量、ルール評価などに基づいて計算される。