AWS Network Firewall の特徴

ディープパケットインスペクション (DPI) を用いたステートフルインスペクションをデプロイして、送信元アドレス、プロトコルタイプ、トラフィックの方向に基づいてトラフィックフローを評価します。柔軟なルールエンジンは、送信元 IP/宛先 IP、ポート、およびプロトコルに基づくルールの設定をサポートするとともに、ポートの指定要件なしで一般的なプロトコルフィルタリングをサポートします。

暗号化されていないフローには HTTP ヘッダーインスペクションを使用し、暗号化されたトラフィックには Server Name Indiication (SNI) フィルタリングを使用して、インバウンドとアウトバウンド両方のウェブトラフィックをフィルタリングします。完全修飾ドメイン名 (FQDN) フィルタリングを使用してドメインベースのコントロールを適用し、特定のウェブサイトやサービスに対するアクセスを管理します。

包括的なインスペクションとフィルタリングを用いてクライアントを認証し、アウトバウンドインターネットトラフィックを制御するための明示的なフォワードプロキシ機能をデプロイします。ワークロードとインターネットの間に配置される AWS Network Firewall プロキシは、データの流出を防ぎ、ドメインをフィルタリングして、HTTP ヘッダーインスペクションを実行します。

Transport Layer Security (TLS) インスペクションを実装して、VPC 内の暗号化トラフィックフローを分析します。ネイティブ TLS インスペクションはファイアウォールインスタンス内で行われるので、データのプライバシーが維持され、インバウンド通信とアウトバウンド通信両方のトラフィック分析が可能になります。

IP-to-Country マッピングを使用して、ロケーションベースのトラフィックコントロールを適用します。地理的地域に基づいてトラフィックを許可または拒否するルールを作成することで、データ主権要件を満たし、地域的なアクセスポリシーを実装できるようにします。

VPC 境界で双方向のトラフィックコントロールを設定します。着信トラフィックにきめ細かなルールを適用し、アウトバウンド通信を監視することで、コンプライアンス要件を満たし、データガバナンスを維持できるようにします。

シグネチャベースの検出を使用して、ネットワーク層とアプリケーション層のコントロールを適用します。IPS は既知のシグネチャに照らしてトラフィックパターンを評価し、バイトシーケンスとパケット特性を分析することで、潜在的なセキュリティイベントを特定します。AWS Network Firewall には、AWS が管理する脅威シグネチャと悪意のあるドメイン名のルールグループが追加料金なしで含まれています。

Amazon のグローバル脅威インテリジェンスを使用する自動化されたコントロールを実装します。AWS マネージドルールは、Amazon GuardDuty が活用するものと同じ脅威インテリジェンスを使用してアクティブな脅威の識別と対応を行うため、インフラストラクチャ全体での一貫的なセキュリティコントロールの維持に役立ちます。

独自のセキュリティ要件を実装、または AWS が提供する事前構築済みのルールを活用するためのカスタムルールを設定します。Suricata との互換性により、アクティブなオープンソースセキュリティコミュニティから IDS/IPS シグネチャをインポートすると同時に、必要に応じてコントロールを更新してカスタマイズする柔軟性を維持することが可能になります。

多くの AWS パートナーが AWS Marketplace を通じてマネージドルールを提供しており、AWS Network Firewall 内に直接デプロイでき、自動的に更新されるセキュリティルールを提供しています。

シンプルな Transit Gateway 統合を使用して、個別のインスペクション VPC を管理することなく VPC 間の東西トラフィックインスペクションを行います。一元化されたセキュリティポリシーを実装することで、アーキテクチャの複雑性を軽減しながら内部のネットワーク通信を監視し、制御します。

単一のファイアウォールインスタンスを使用して、VPC エンドポイント全体に統一されたセキュリティコントロールを適用します。セキュリティ管理を一元化しながら、VPC 間のトラフィックフローに対する一貫的なポリシー適用を維持します。

組み込みの冗長性と AWS Network Firewall のサービスレベルアグリーメントを使用して、一貫的な保護を確保します。トラフィックパターンの変化に合わせてアベイラビリティーゾーンごとに行えるシームレスなスケーリングを体験できます。システムがキャパシティを自動的に調整してコストを最適化しながらパフォーマンスを維持するため、手動でのスケーリング操作が不要になります。

複数の VPC エンドポイントを単一のファイアウォールインスタンスに接続することで、効率性を最大化します。複数の VPC を対象とする統合セキュリティ管理を通じて、運用上のオーバーヘッドとコストを削減します。この柔軟なアーキテクチャは、AWS 環境全体での一貫したポリシー適用を確保しながら、多様なデプロイパターンをサポートします。

CloudWatch を使用した詳細なアラートとフローのログ記録を通じてネットワークアクティビティを監視します。アラートログを使用してルールマッチやセッションデータを追跡し、フローログから双方向トラフィックの状態情報を取得します。既存の分析ワークフローと統合する場合は、ログを Amazon S3、Kinesis、または CloudWatch に保存します。

AWS 組織全体のポリシーを一元管理することで、セキュリティ運用を能率化します。階層的なポリシー管理を通じて、複数のアカウント、アプリケーション、VPC の全体で一貫的なルールとコントロールをデプロイします。自動化されたコンプライアンス監視機能と修復機能は、組織全体でのポリシー遵守状況を明確に可視化しながら、インフラストラクチャの拡大に合わせてセキュリティ基準を維持するために役立ちます。

AWS サービスとのネイティブ統合を使用して、ネットワークセキュリティコントロールを実装します。集中型アーキテクチャには Transit Gateway、トラフィックルーティングには VPC、アクセス管理には IAM、運用監視には CloudWatch を使用します。

パートナーソリューションと統合の幅広いネットワークを通じてセキュリティ機能を強化します。既存のセキュリティ投資を維持しながら優れたセキュリティパートナーとつながって、ポリシーオーケストレーションや脅威インテリジェンスフィードに対応します。セキュリティイベントとログデータを任意の SIEM ソリューションにエクスポートすることで、インフラストラクチャ全体を対象とする包括的なセキュリティ分析を可能にします。AWS Network Firewall パートナーの完全なリストをご覧ください