投稿日: May 3, 2023
AWS Network Firewall が、Suricata HOME_NET 変数の上書きに対応するようになりました。これにより、集約型デプロイモデルでデプロイされたファイアウォールで、AWS マネージドルールグループを簡単に使用できます。マネージドルールグループは、AWS がお客様に代わって作成および管理する、すぐに使用可能な事前定義済みのルールの集まりです。マネージドルールグループの Suricata HOME_NET 変数には、AWS Network Firewall によって検査される Classless Inter-Domain Routing (CIDR) 範囲があります。これまで、HOME_NET 変数はファイアウォールがデプロイされている VPC の CIDR 範囲を使用していたため、上書きできませんでした。ファイアウォールが集約型の検査用 VPC を使用している場合、AWS Network Firewall は、フィルタリングするアプリケーション (スポーク) VPC の代わりに、検査用 VPC の CIDR 範囲を HOME_NET に入力します。
本日より、ファイアウォールポリシーの HOME_NET 変数を上書きし、検査したいすべての VPC の CIDR 範囲を含めることができます。これにより、集約型のファイアウォールデプロイでは、マネージドルールグループを使用してアプリケーション VPC を保護できます。この機能は追加料金なしでご利用いただけます。ファイアウォールポリシーの Suricata HOME_NET 変数を上書きするには、Amazon VPC コンソール、AWS CLI、または Network Firewall API を使用します。この機能は、AWS Network Firewall が提供されているすべての AWS リージョンで利用可能です。