AWS Firewall Manager

AWS Firewall Manager は AWS Organizations と統合されているので、複数の AWS アカウントとリソースに対して、1 か所から AWS WAF ルールと AWS Shield Advanced 保護、および、Amazon VPC のセキュリティグループを有効にできます。ルールをグループ分けし、ポリシーを構築し、インフラストラクチャ全体に対し一元的にそれらのポリシーを適用できます。例えば、アカウント全体にグローバルセキュリティポリシーを適用しつつ、1 つのアカウント内でアプリケーション固有のルールの作成を委任できます。

AWS Firewall Manager は、既存および新規に作成されたリソース全体に、ユーザーの定義する必須のセキュリティポリシーを自動適用します。このサービスは複数アカウント間で作成された新しいリソースを検出します。例えば、米国財務省の外国資産管理局 (OFAC、Office of Foreign Assets Control) の規制要件を満たす必要がある場合、Firewall Manager を使用して、禁輸対象国からのトラフィックをブロックする AWS WAF ルールを Application Load Balancer、API Gateway、Amazon CloudFront アカウント全体にデプロイできます。新しいリソースがされると、それらは自動的にポリシーが適用されます。

AWS Firewall Manager は AWS WAF マネージドルールと統合されているため、あらかじめ設定された WAF ルールをお使いのアプリケーションに対して容易にデプロイすることができます。AWS Marketplace Seller からマネージドルールを選択し、コンソール上で数回クリックするだけで Application Load Balancer、API Gateway、Amazon CloudFront インフラストラクチャ全体に一貫してデプロイすることができます。例えば、CVE パッチ更新を提供する AWS Marketplace の WAF マネージドルールにサブスクライブすることで、組織全体をゼロデイ脆弱性から容易に保護できます。Advanced Shield 保護の場合、AWS Firewall Manager を使用してアカウント間の UDP リフレクション攻撃、SYN フラッド、DNS クエリフラッド、HTTP フラッド攻撃といったさまざまなタイプの DDoS 攻撃から自動で保護することができます。Amazon VPC 内のセキュリティグループ用に、組織全体で未使用および冗長なセキュリティグループを特定する事前設定型ルールを提供します。

AWS Firewall Manager を使用すると、セキュリティチームに脅威が通知されるため、攻撃への迅速な対応、軽減が可能になります。例えば、Amazon GuardDuty が不正な IP アドレスからのアプリケーションへのアクセスを検出した場合、組織全体の Application Load Balancer、API Gateway、Amazon CloudFront ディストリビューション全体で、その IP アドレスに対するブロックを適用するファイアウォール保護ポリシーをすばやくデプロイできます。