AWS Firewall Manager が大阪リージョンでご利用いただけます

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。

2021年4月30日にAWS Network Firewall、6月2日にAWS WAF がそれぞれ大阪リージョンでご利用可能となったことをこのブログでお伝えしましたが、本日は、それらサービスに対してルールを一元管理しデプロイをつかさどるAWS Firewall Manager が利用可能となりましたことをお伝えします。

AWS Firewall Manager

Firewall Manager はAWS Organizations で管理され、AWS Config が有効化されたアカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするセキュリティ管理サービスです。新規アプリケーションが作成されると、Firewall Manager はセキュリティルールの共通セットを適用することで、新規アプリケーションとリソースを簡単にこれらに準拠させることができ、手作業による作業のばらつきや漏れを防ぐことができます。また、Firewall Managerはリージョナルサービスとして動作し、複数リージョンにまたがるセキュリティ運用を構築するためには、各リージョン単位で機能を有効化する必要があります。

Application Load Balancer、Amazon API Gateway、Amazon CloudFront 、AWS AppSync を保護するAWS WAF、Application Load Balancer や Elastic IP アドレス、CloudFrontに対するAWS Shield Advanceの有効化、Amazon VPC 内部のセキュリティをつかさどる AWS Network Firewall や セキュリティグループ、悪意のあるDNSクエリからシステムを保護する Amazon Route 53 Resolver DNS Firewal に対するルールとデプロイを一元管理します。1つ以上のサブネットのインバウンドトラフィックとアウトバウンドトラフィックを制御するファイアウォールとして動作するネットワークACLには非対応なので留意してください。

さらに、Firewall Manager は AWS WAF マネージドルール と連携しており、AWS Marketplace からすでに設定済のルールを設定することで、様々なルールをデプロイすることが可能になっています。ルールの一覧はこちらをご覧ください。

コンプライアンス管理と階層ルールの適応

Firewall Manager には視覚的に確認を行えるダッシュボードが提供されます。どの AWS リソースが保護され、どのリソースがコンプライアンスに外れているか把握することができるため、必要な対応を行うことができます。また設定に変更があった場合は Amazon  SNS 経由で通知を受けることができます。

また、階層的に保護ポリシーを複数適用できるため、ベースラインとなる一定のルールを一元的に適用する機能を維持しながら、アプリケーション固有のルールの作成は各開発チームなどに委任することができます。一元的に適用されるルールは、偶発的な削除や誤操作がないか常に監視されているため、一貫して適用されるため、ベースラインのセキュリティを維持しながら柔軟性を確保することも可能です。

– シニアエバンジェリスト 亀田