リファレンスデプロイ

AWS での Sophos アウトバウンドウェブプロキシ

Sophos UTM および Outbound Gateway を使用したアウトバウンドウェブフィルタリングプロキシ

このクイックスタートでは、Sophos Unified Threat Management (UTM) の仮想アプライアンスを使用して、アマゾン ウェブ サービス (AWS) クラウドにアウトバウンドウェブフィルタリングプロキシを自動的にデプロイします。また、クイックスタートでは、Sophos Outbound Gateway を使用してセキュリティを複数の Virtual Private Cloud (VPC) に拡張します。

Sophos UTM は、ファイアウォール、侵入防止機能、VPN、ウェブフィルタリングなど、複数のセキュリティ機能を搭載しています。Sophos Outbound Gateway は、アウトバウンドウェブトラフィックに可視性、ポリシー適用、および伸縮自在なスケーラビリティを提供する、耐障害性の高い分散型アーキテクチャを実現します。

このクイックスタートでは、インターネットアクセスを許可することなく、AWS の API コールをホワイトリスト化できるクラウド環境を構築します。このリファレンスデプロイを使用して、その他のプロキシユースケースを Sophos UTM で有効にすることもできます。

logo-sophos-150

このクイックスタートは、AWS とのコラボレーションのもと、Sophos により開発されたものです。Sophos は
APN パートナーです。

  •  構築するもの
  •  デプロイ方法
  •  コストとライセンス
  •  構築するもの
  • デプロイは AWS CloudFormation テンプレートで自動化されており、仮想ネットワークを設定して Sophos アウトバウンドプロキシソリューションに必要な EC2 インスタンスおよびネットワーキングリソースを作成します。テンプレートは、次の Sophos コンポーネントを含む可用性の高いアーキテクチャをデプロイします。

    • Sophos UTM 9 仮想アプライアンスは、AWS でインフラストラクチャを保護するのに役立ちます。Sophos UTM には、次世代ファイアウォール (NGFW)、Web アプリケーションファイアウォール (WAF)、侵入防止システム (IPS)、高度な脅威防御機能 (ATP) など、複数のセキュリティツールが装備されています。
    • Sophos UTM Queen (Controller) は、UTM Worker の設定を管理し、管理制御を行います。
    • Sophos UTM Worker は、Outbound Gateway からの Generic Routing Encapsulation (GRE) トンネルを終了させ、Controller 内で設定されたポリシーに基づいてトラフィックを目的のプロキシサーバーに送ります。
    • Sophos Outbound Gateway は、クライアントがプロキシを経由して接続する必要のあるアベイラビリティーゾーン内に存在します。

    クライアントのプロキシサービスを集約するため、Queen Controller および Worker は専用のプロキシ VPC 内にデプロイされます。

    このクイックスタートは、プロキシクライアント用に別個のアプリケーション VPC をデプロイします。アプリケーション VPC には AWS の Outbound Gateway が含まれ、クライアント、踏み台ホストインスタンス、テスターインスタンスからの接続をサポートします。これらのインスタンスを使用してアウトバウンドウェブプロキシ機能をテストできます。

    Outbound Gateway を他の VPC に追加することで、クイックスタートアーキテクチャを拡張して既存の VPC やクライアントを含めることができます。

  •  デプロイ方法
  • デプロイメントガイドの手順に従って、AWS に Sophos アウトバウンドウェブプロキシ環境を構築します。デプロイプロセスには、以下の手順が含まれます。

    1. AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップしてください。
    2. AWS Marketplace 内で Sophos UTM 9 用の Amazon Machine Image (AMI) の利用規約を確認して同意します。2 つのライセンスオプションから選択できます。
    3. クイックスタートを起動します。デプロイの所要時間は約 20 分です。
    4. Sophos UTM Controller を設定します。
    5. アウトバウンドウェブプロキシ機能をテストします。
    6. (任意) URL ホワイトリストを設定します。

    クイックスタートにはカスタマイズ可能なパラメータが用意されています。たとえば、インスタンスタイプや CIDR ブロックを変更して Sophos UTM の設定をカスタマイズできます。

  •  コストとライセンス
  • このクイックスタートリファレンスデプロイの実行中に使用した AWS のサービスのコストは、お客様が負担します。クイックスタートを使用しても追加コストは発生しません。簡易見積りツールを使用して、デフォルトのテンプレート設定の一般的なコストを表示でき、デプロイによって設定を調整できます。ライセンスの追加コストは消費モデル (BYOL または時間単価) およびインスタンスタイプによって異なります。

    料金は変更される場合があります。詳細については、このクイックスタートで使用する AWS の各サービスの料金表ページをご覧ください。

    このデプロイは、Sophos UTM ソフトウェアの BYOL および時間単価モデルの両方をサポートします。すでに Sophos UTM のライセンスをお持ちの場合は、BYOL オプションを選択して、デプロイ後にライセンスファイルをアップロードできます。

    このクイックスタートは、踏み台ホストおよび Linux テストインスタンスに加えて、Sophos UTM Controller および Worker インスタンス用の Amazon Machine Images (AMI) を起動します。