このパートナーソリューションは、高可用性 (HA) を実現するための Citrix Web Application Firewall (WAF) を Amazon Web Services (AWS) クラウドに自動的にデプロイします。Citrix WAF は、アプリケーションレイヤーの脅威やゼロデイ脅威も含め、攻撃からウェブアプリケーションおよびサイトを保護するファイアウォールです。Citrix WAF はウェブサーバーの前に配置され、ウェブアプリケーションに到達する前のウェブトラフィックをモニタリングします。
このパートナーソリューションは、AWS で実行されている公開ウェブアセットまたは内部ウェブアセットに対する脅威を軽減したいユーザーを対象としています。このパートナーソリューションを使用して、概念実証を構築およびテストしたり、ウェブアプリケーションのフロントエンドとして可用性の高い Citrix WAF の本番対応デプロイを作成したりします。
このパートナーソリューションは Citrix Systems と AWS が共同開発しました。Citrix Systems は AWS パートナーです。
AWS Service Catalog の管理者は、このアーキテクチャをご自分のカタログに追加できます。
-
構築するもの
-
デプロイ方法
-
コストとライセンス
-
構築するもの
-
このパートナーソリューションは次を設定します。
- 2 つのアベイラビリティーゾーンにまたがる可用性の高いアーキテクチャ。*
- AWS のベストプラクティスに沿って 2 つのパブリックサブネットと 4 つのプライベートサブネットが設定された Virtual Private Cloud (VPC)。*
- VPC に接続されたインターネットゲートウェイ、およびパブリックサブネットに関連したルートテーブル。これにより、インターネットにアクセスできるようになります。このゲートウェイは、WAF ホストがトラフィックを送受信するために使用されます。(ここで示している VPN 接続および VPN ゲートウェイは、パートナーソリューションの一部としてデプロイされません。これらは VPC にプライベート接続する方法を表しています)。*
- 各アベイラビリティーゾーンに 1 つずつ、合計 2 つの Citrix WAF インスタンス (プライマリとセカンダリ)。これらを合わせて、Citrix WAF HA ペアと呼びます。
- 以下の 3 つのセキュリティグループ (表示されていません)。各セキュリティグループは 2 つのアベイラビリティーゾーンにまたがり、WAF インスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。
- クライアントネットワークインターフェイス用のセキュリティグループ。
- サーバーネットワークインターフェイス用のセキュリティグループ。
- 管理ネットワークインターフェイス用のセキュリティグループ。
- クライアントネットワークインターフェイス用のセキュリティグループ。
- パブリックサブネット内:
- 関連した Elastic IP アドレスが設定されたマネージドネットワークアドレス変換 (NAT) ゲートウェイ。プライベートサブネット内のリソースへアウトバウンドのインターネットアクセスを提供します。*
- Citrix WAF インスタンスのクライアントネットワークインターフェイス (VIP) 用の Elastic Network Interface。
- Auto Scaling グループに含まれるオプションの Linux 踏み台ホスト (表示されていません)。パブリックサブネットおよびプライベートサブネット内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのインバウンドの Secure Shell (SSH) アクセスを可能にします。*
- プライマリ Citrix WAF インスタンスのクライアントネットワークインターフェイスに接続されたオプションの Elastic IP アドレス (表示されていません)。
- プライベートサブネット (アベイラビリティーゾーンごとに 2 つ) 内:
- Citrix WAF インスタンスの管理ネットワークインターフェイス用のプライベート IP アドレス (NSIP) が設定された Elastic Network Interface。
- Citrix WAF インスタンスのサーバーネットワークインターフェイス用のプライベート IP アドレス (SNIP) が設定された Elastic Network Interface。
- Citrix WAF インスタンスの管理ネットワークインターフェイス用のプライベート IP アドレス (NSIP) が設定された Elastic Network Interface。
- Citrix WAF の高可用性およびロードバランシングを設定する AWS Lambda 関数。
- お客様のユーザーによる AWS のサービスおよびリソースへのアクセスを安全に制御するための、AWS Identity and Access Management (IAM) ロール。デフォルトでは、デプロイにより、必要な IAM ロールが作成されます。または、独自のものを用意することもできます。
* パートナーソリューションを既存の VPC にデプロイするテンプレートは、アスタリスクが付けられたコンポーネントをスキップし、既存の VPC 設定にユーザーを誘導します。
-
デプロイ方法
-
デプロイガイドの指示に従って、Citrix WAF をデプロイします。デプロイプロセスには約 15 分かかり、次のステップが含まれます。
- AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。
- AWS Marketplace で Citrix WAF Amazon マシンイメージ (AMI) をサブスクライブします。使用可能なオプションについては、デプロイガイドの「ソフトウェアライセンス」のセクションを参照してください。
- パートナーソリューションを起動します。次の 2 つのオプションから選択できます。
- デプロイをテストします。
Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。
- AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。
-
コストとライセンス
-
このパートナーソリューションでは、Citrix WAF AMI のサブスクリプションが必要です。2 つのライセンスモデル (従量制料金 (Pay-As-You-Go) と自分のライセンスを使用する (Bring-Your-Own-License)) があります。詳細については、デプロイガイドを参照してください。
このソリューションの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。このソリューションを使用しても追加コストは発生しません。
このソリューションには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。
ヒント: ソリューションをデプロイした後、 AWS Cost and Usage Report を作成し、関連するコストを追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、 AWS Cost and Usage Report とはを参照してください。