概要
AWS Firewall Manager のオートメーションを使用すると、AWS Organizations のすべてのアカウントとリソースでファイアウォールルールを自動化された方法で一元的に設定、管理、監査できます。この AWS ソリューションを使用することで、組織全体で一貫したセキュリティ体制を維持できます。
このソリューションには、AWS WAF 用のアプリケーションレベルのファイアウォールの設定、未使用で過度に許容的な Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループの監査、不正ドメインのクエリをブロックする DNS ファイアウォールの設定を行うための事前設定されたルールが用意されています。
このソリューションは、AWS Shield Advanced との統合により、ファイアウォールのセキュリティルールの迅速なベースラインを作成し、分散型サービス拒否 (DDoS) 攻撃から保護するのにも役立ちます。
注: 組織ですでに Firewall Manager を使用している場合、このソリューションを使用できます。ただし、Firewall Manager の管理者アカウントにこのソリューションをインストールする必要があります。Firewall Manager をまだ設定していない場合は、手順について「実装ガイド」を参照してください。
メリット
AWS Firewall Manager を使用して、マルチアカウント AWS 環境で AWS WAF、DNS およびセキュリティグループのルールを簡単に設定および監査します。
このソリューションを活用して、Firewall Manager を使用するために必要な前提条件をインストールすることで、特定のセキュリティのニーズに集中する時間を増やすことができます。
AWS Shield Advanced のサブスクリプションを活用して、AWS Organizations のアカウント全体で DDoS 保護をデプロイします。
技術的な詳細情報
このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。
アーキテクチャは、ポリシーマネージャーとコンプライアンスレポートジェネレーターの 2 つのワークフローにグループ化できます。
ステップ 1
AWS Systems Manager の機能である パラメータストアには、 /FMS/OU、/FMS/リージョン、/FMS/タグの 3 つのパラメータが含まれています。Systems Manager を使用して、これらのパラメータを更新します。
ステップ 2
Amazon EventBridge ルールは、イベントパターンを使用して、System Manager パラメータ更新イベントをキャプチャします。
ステップ 3
EventBridge ルールは、AWS Lambda 関数を呼び出します。
ステップ 4
Lambda 関数は、ユーザー指定の OU 全体で事前定義された AWS Firewall Manager セキュリティポリシーのセットをインストールします。さらに、AWS Shield Advanced のサブスクリプションをお持ちの場合、このソリューションは Advanced ポリシーをデプロイして分散型サービス拒否 (DDoS) 攻撃から保護します。
ステップ 5
PolicyManager Lambda 関数は、Amazon Simple Storage Service (Amazon S3) バケットからポリシーマニフェストファイルを取得し、マニフェストファイルを使用して Firewall Manager セキュリティポリシーを作成します。
ステップ 6
Lambda は、ポリシーメタデータを Amazon DynamoDB テーブルに保存します。
ステップ 7
時間ベースの EventBridge ルールは、Compliance Generator Lambda 関数を呼び出します。
ステップ 8
Compliance Generator Lambda は、各リージョンの Firewall Manager ポリシーを取得し、Amazon SNS トピックでポリシー ID のリストを公開します。
ステップ 9
Amazon SNS トピックは、ペイロード {PolicyId: string, Region: string} を使用して Compliance Generator Lambda 関数を呼び出します。
ステップ 10
ComplianceGenerator Lambda 関数は、ポリシーごとにコンプライアンスレポートを生成し、レポートを CSV 形式で S3 バケットにアップロードします。
ステップ 1
AWS Systems Manager の機能である パラメータストアには、 /FMS/OU、/FMS/リージョン、/FMS/タグの 3 つのパラメータが含まれています。Systems Manager を使用して、これらのパラメータを更新します。
ステップ 2
Amazon EventBridge ルールは、イベントパターンを使用して、System Manager パラメータ更新イベントをキャプチャします。
ステップ 3
EventBridge ルールは、AWS Lambda 関数を呼び出します。
ステップ 4
Lambda 関数は、ユーザー指定の OU 全体で事前定義された AWS Firewall Manager セキュリティポリシーのセットをインストールします。さらに、AWS Shield Advanced のサブスクリプションをお持ちの場合、このソリューションは Advanced ポリシーをデプロイして分散型サービス拒否 (DDoS) 攻撃から保護します。
ステップ 5
PolicyManager Lambda 関数は、Amazon Simple Storage Service (Amazon S3) バケットからポリシーマニフェストファイルを取得し、マニフェストファイルを使用して Firewall Manager セキュリティポリシーを作成します。
ステップ 6
Lambda は、ポリシーメタデータを Amazon DynamoDB テーブルに保存します。
ステップ 7
時間ベースの EventBridge ルールは、Compliance Generator Lambda 関数を呼び出します。
ステップ 8
Compliance Generator Lambda は、各リージョンの Firewall Manager ポリシーを取得し、Amazon SNS トピックでポリシー ID のリストを公開します。
ステップ 9
Amazon SNS トピックは、ペイロード {PolicyId: string, Region: string} を使用して Compliance Generator Lambda 関数を呼び出します。
ステップ 10
ComplianceGenerator Lambda 関数は、ポリシーごとにコンプライアンスレポートを生成し、レポートを CSV 形式で S3 バケットにアップロードします。
関連コンテンツ
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。インフラストラクチャ保護セクションでは、トラフィックフィルタリング用の AWS WAF について説明します。
このコースでは、複数の AWS アカウントをポリシーベースで管理できるサービスである AWS Organizations をご紹介いたします。主な機能と用語について説明し、サービスへのアクセスと使用方法を確認し、デモンストレーションを提供します。
この試験は AWS プラットフォームのセキュリティ強化における技術的専門知識の試験です。熟練したセキュリティ担当者が対象です。