この AWS ソリューション実装では、どのようなことが可能ですか?

The AWS Centralized WAF and VPC Security Group Management ソリューションを使用すると、AWS Organizations のアカウントとリソース全体でファイアウォールルールを一元的に設定、管理、および監査することができます。このソリューションは、AWS Firewall Manager のセキュリティポリシーを設定するプロセスを自動化するリファレンス実装です。

このソリューションは、アカウント全体にデプロイできる事前設定済みのルールを提供して、(1) ウェブアプリケーションファイアウォール (WAF) のアプリケーションレベルファイアウォールを設定し、(2) 未使用で過度に許容的な Virtual Private Cloud (VPC) セキュリティグループを監査します。これにより、Firewall Manager を使用するために必要な前提条件を自動的に有効にできるため、特定のセキュリティニーズに集中するためにより多くの時間を費やすことができます。

このソリューションは、AWS エンタープライズのお客様がレイヤー 3〜7 のリソース全体でファイアウォールセキュリティルールのベースラインを迅速に作成し、組織内で一貫したセキュリティ体制を維持するのに役立ちます。さらに、このソリューションは、AWS Shield Advanced をサブスクライブしているお客様に Shield Advanced ポリシーをデプロイして、AWS アカウントへの分散型サービス拒否 (DDoS) 攻撃から保護します。

注意: このソリューションは、Firewall Manager 管理者アカウントにインストールする必要があります。Firewall Manager をまだ設定していない場合は、手順について実装ガイドを参照してください。

AWS ソリューション実装の概要

下図は、このソリューションの実装ガイドと付属の AWS CloudFormation テンプレートを使用して、自動的にデプロイできるアーキテクチャを表しています。

AWS Centralized WAF and VPC Security Group Management | アーキテクチャ図
 クリックして拡大

AWS Centralized WAF and VPC Security Group Management ソリューションのアーキテクチャ

AWS CloudFormation template テンプレートがデプロイされると、3 つのパラメーターを含む AWS Systems Manager パラメーターストアが作成され、それぞれにデフォルト値が設定されます。作成されるパラメーターには、/FMS/OU (組織単位)、/FMS/Regions、および /FMS/Tags が含まれます。Systems Manager を使用して、これらのパラメータを更新できます。Amazon EventBridge ルールは、イベントパターンを使用して、System Manager パラメーター更新イベントをキャプチャします。Amazon EventBridge ルールは、AWS Lambda 関数を呼び出します。Lambda 関数は、ユーザー指定の OU 全体で事前定義された AWS Firewall Manager セキュリティポリシーのセットをインストールします。ポリシーには、AWS マネージドルールセットと VPC セキュリティグループ監査ポリシーで構成される WAF Web アクセスコントロールリスト (ACL) が含まれます。さらに、AWS Shield Advanced のサブスクリプションをお持ちの場合、このソリューションは Shield Advanced ポリシーをデプロイして DDoS 攻撃から保護します。AWS Lambda は、ポリシーメタデータを Amazon DynamoDB テーブルに保存します。

AWS Centralized WAF and VPC Security Group Management

バージョン 1.0.0
最終更新日: 2020 年 9 月
作成者: AWS

見積りデプロイ時間: 3 分

下のボタンをクリックして、ソリューションの更新を登録してください。

注: RSS 更新を購読するには、使用しているブラウザで RSS プラグインを有効にする必要があります。 

このソリューション実装は役に立ちましたか?
フィードバックを送る 

特徴

AWS Organizations アカウントで WAF とセキュリティグループの監査ルールを簡単に設定

AWS Firewall Manager を使用して、マルチアカウント AWS 環境で WAF およびセキュリティグループの監査ルールを簡単に設定および監査します。

アカウント全体で DDoS 保護をデプロイ

AWS Shield Advanced のサブスクリプションを活用して、AWS Organizations のアカウント全体で DDoS 保護をデプロイします。

AWS Firewall Manager のインストールを自動化

このソリューションを活用しすると、AWS Firewall Manager を使用するために必要な前提条件をインストールできます。
アイコンを作成する
自分でソリューションをデプロイする

よくみられるアーキテクチャ上の問題に関して答えを知るため、AWS ソリューション実装のライブラリを閲覧する。

詳細はこちら 
APN パートナーを見つける
APN パートナーを見つける

サービスの開始をサポートする AWS 認定コンサルティングパートナーとテクノロジーパートナーを見つけましょう。

詳細はこちら 
アイコンについて調べる
ソリューションコンサルティングサービスについて調べる

ソリューションをデプロイし、AWS により審査済みのサポートを受けるため、コンサルティングサービスのポートフォリオを閲覧する。

詳細はこちら