投稿日: Jan 9, 2023
AWS Network Firewall では、ファイアウォールルールアクションとして拒否をサポートするようになったため、レイテンシーの影響を受けやすいアプリケーションのパフォーマンスを向上させ、内部のセキュリティ運用を改善できます。
AWS Network Firewall の柔軟なルールエンジンにより、ネットワークトラフィックのきめ細かいコントロールを提供するファイアウォールルールを定義できます。以前は、ネットワークトラフィックを渡したり、ドロップしたり、警告したりするステートフルルールを設定できました。ドロップアクションが設定されている場合、ファイアウォールはトラフィックをドロップしますが、送信元には応答を送信しません。セッションは有効期限のしきい値を超えるまで開いたままになるため、TCP 接続に影響します。パケットがドロップされた理由を理解するには、さらに時間と労力をかけてトレースルートテストを完了するか、ログを確認する必要があります。本日より、AWS Network Firewall では、ステートフルルールを設定し、そのルールが TCP トラフィックと一致した場合に拒否アクションを適用できるようになりました。ファイアウォールはパケットをドロップし、TCP リセット (RST) を送信して、TCP 接続が失敗したことを送信者に通知します。デフォルトのアクション順序を使用してファイアウォールルールに拒否アクションを適用することも、厳密なルール順序付け方法を使用して正確な順序を設定することもできます。
この新しい AWS Network Firewall 機能の使用には追加料金はかかりませんが、追加のロギングコストはユーザーの負担になります。この機能は AWS Network Firewall が利用可能なすべての商用 AWS リージョンと AWS GovCloud (米国) リージョンで利用できます。AWS Network Firewall はすべての Amazon VPC に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドファイアウォールサービスです。このサービスは、ネットワークトラフィック量に応じて自動的にスケールし、基盤となるインフラストラクチャをセットアップまたは維持する必要なしに、高可用性の保護を提供します。AWS Network Firewall の使用をスタートするには、AWS Network Firewall の製品ページとサービスのドキュメントをご覧ください。