Amazon Web Services ブログ

AWS Network Firewall が東京リージョンで利用可能になりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。

今週はAWS東京リージョンの10周年、そして3つのAZを持つ大阪リージョンの発表があり、日本におけるクラウド利用は広がり続けています。そして、2020年11月に発表された、AWS Network Firewall が東京リージョンで本日利用可能になりましたのでお知らせいたします。

Network Firewall は AWS クラウド上でお客様向けに論理的に分離された仮想ネットワークの構築を実現するAWSの重要な機能である、Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張される数十万コネクションを管理できるため、インフラストラクチャのデプロイと管理について心配する必要はありません。

従来VPCには基本的なセキュリティ機能として、プロトコル単位、IPアドレス単位、ポート単位で通信のインバウンド、アウトバウンドの許可・拒否の制御を行うセキュリティグループ、ネットワークアクセスコントロールリスト (ACL) があり、主にレイヤ3及び4で動作します。このNetwork Firewall は、VPCに備わる新たなセキュリティ機能であり、アカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするAWS Firewall Managerと統合されて、レイヤ7まで含めた制御を実現します。

Network Firewallは数千のカスタムルールを設定可能なステートフルに動作するファイアウォールとして機能し、接続の追跡やプロトコルの識別などのトラフィックフローからコンテキストを組み込んで、VPC が不正なプロトコルを使用してドメインにアクセスするのを防ぐなどのポリシーを適用することができます。AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックすることができ、また、既知の不正な URL へのトラフィックを停止し、完全修飾ドメイン名を監視できるウェブフィルタリング等も提供されます。従来のセキュリティグループやネットワークACLの制御では、許可、拒否の2択でしたが、alertの機能が備わっており、これらの検知結果などはAmazon CloudWatch でダッシュボード化することが可能で、可観測性を高めることに役立ちます。

外部通信のインバンド、アウトバウンド制御だけではなく、AWS Transit Gatewayとの連携により、相互接続された VPC のきめ細かいネットワークセキュリティコントロールを実現することが可能で、さらに Transit Gateway でサポートされているクライアントデバイスおよび オンプレミス環境から AWS Direct Connect と VPN のトラフィックを保護することができます。

サービスの起動はマネージメントコンソールのVPC画面から行えます。

Network Firewallに組み込むルールは以下の画面で設定を行っていきます。送信元IP、送信元ポート番号、宛先IP、宛先ポート番号、プロトコル番号を指定する5-tuple形式、ドメイン名ベースの制御を行うDomain list形式、オープンソースベースのIPSであるSuricata をベースとした Suricata compatible IPS rules を選択しルールを作成します。

Suricata形式の場合、例えばポート443に対して非TLS通信の試みがあった場合にalertを出力する場合、以下のような形式の記述でルールを作成していきます。

alert tcp any any -> any [443] (msg:"Detected non-TLS on TLS port"; flow:to_server; app-layer-protocol:!tls; threshold: type limit, track by_src, seconds 90, count 1; sid:210003; rev:1;)

詳細はSuricate 公式ドキュメント、およびAWS公式ドキュメントをご覧ください。

– シニアエバンジェリスト 亀田;