AWS Network Firewall の特徴

概要

AWS Network Firewall は、すべての Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。このサービスは、数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張されるため、インフラストラクチャのデプロイと管理について心配する必要はありません。AWS Network Firewall の柔軟なルールエンジンを使用すると、アウトバウンドサーバーメッセージブロック (SMB) リクエストをブロックして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックを詳細まで制御できるファイアウォールルールを定義できます。また、一般的なオープンソースルール形式で既に作成したルールをインポートして、AWS パートナーが提供するマネージドインテリジェンスフィードを統合することも可能です。AWS Network Firewall は AWS Firewall Manager と連携するため、AWS Network Firewall ルールに基づいてポリシーを構築し、それらのポリシーを VPC とアカウント全体に一元的に適用できます。

Network Firewall の特徴

高可用性と自動スケーリング

AWS Network Firewall には、すべてのトラフィックが一貫して検査および監視されるよう、冗長機能が組み込まれています。AWS Network Firewall では、99.99% の稼働率を確約するサービスレベルアグリーメントを提供しています。AWS Network Firewall を利用すると、トラフィックの負荷に基づいてファイアウォールのキャパシティを自動的にスケールアップまたはスケールダウンし、安定した予測可能なパフォーマンスを維持して、コストを最小限に抑えることができます。

ステートフルファイアウォール

ステートフルファイアウォールは、トラフィックフローのコンテキストを考慮して、送信元アドレスやプロトコルタイプに基づいてパケットをドロップするなど、よりきめ細かなポリシーを適用します。このステートフルファイアウォールの照合基準は、AWS Network Firewall のステートレス検査機能と同じですが、さらにトラフィック方向の照合設定が行えます。AWS Network Firewall の柔軟なルールエンジンにより、送信元/送信先 IP、送信元/送信先のポート、プロトコルに基づいて何千ものファイアウォールルールを作成できます。AWS Network Firewall は、TCP/UDP トラフィックフィルタリングだけでなく、ポート指定なしで一般的なプロトコルをフィルタリングします。

ウェブフィルタリング

AWS Network Firewall は、暗号化されていないウェブトラフィックのインバウンドとアウトバウンドのウェブフィルタリングをサポートしています。暗号化されたウェブトラフィックでは、Server Name Indication (SNI) を使用して特定のサイトへのアクセスをブロックします。SNI は Transport Layer Security (TLS) の拡張機能であり、トラフィックフローでは暗号化されず、クライアントが HTTPS 経由でアクセスしようとしている送信先ホスト名を示します。さらに、AWS Network Firewall は完全修飾ドメイン名 (FQDN) をフィルタリングできます。

侵入防止

AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を行い、脆弱性の悪用やブルートフォース攻撃からネットワーク層とアプリケーション層をリアルタイムで保護します。シグネチャベースの検出エンジンは、バイトシーケンスやパケット異常などの属性に基づいて、ネットワークトラフィックパターンを既知の脅威シグネチャと照合します。

アラートログとフローログ

アラートログはルール固有のもので、トリガーされたルールとそれをトリガーした特定のセッションに関する追加データを提供します。フローログには、ファイアウォールを通過するすべてのトラフィックフローに関する状態情報が、方向ごとに 1 行ずつ表示されます。AWS Network Firewall のフローログは、Amazon S3、Amazon Kinesis、および Amazon CloudWatch にネイティブに保存できます。

一元管理と可視性

AWS Firewall Manager は、AWS Organizations のアプリケーション、VPC、アカウント全体で一元的にセキュリティポリシーをデプロイおよび管理できるようにするセキュリティ管理サービスです。AWS Firewall Manager では、AWS Network Firewall のルールグループをポリシーに整理して、インフラストラクチャ全体にデプロイできるため、一貫性のある階層的な方法で適用範囲をスケールできます。AWS Firewall Manager は、アカウント全体のポリシーコンプライアンスを集約して表示し、修正プロセスを自動化します。Firewall Manager では、新しいアカウント、リソース、ネットワークコンポーネントが作成されたときに、共通のファイアウォールポリシーを適用することで、それらを簡単にコンプライアンスに準拠させることができます。

ルール管理とカスタマイズ

AWS Network Firewall を使用すると、お客様は社内のカスタムルール開発から、または社外のサードパーティベンダーやオープンソースプラットフォームから調達した Suricata 互換のルールを実行できます。

パートナー統合の多様なエコシステム

AWS Network Firewall は AWS パートナーと統合して、中央のサードパーティーのポリシーオーケストレーションと統合し、分析ソリューションにログをエクスポートします。AWS Network Firewall は、既存のマネージドルールプロバイダーを活用したいお客様向けに、一般的なマネージド型脅威インテリジェンスフィードを使えるようにしています。AWS Network Firewall は、サードパーティーのポリシーオーケストレーションソリューションにつなぎ、ハイブリッドまたは複数のファイアウォールベンダーのアーキテクチャを一元管理できます。可視性を高めるために、AWS Network Firewall のログとセキュリティイベント情報を、セキュリティ情報とイベント管理 (SIEM) ソフトウェアなどのサードパーティーの分析ソリューションに送信できます。AWS Network Firewall パートナーの完全なリストをご覧ください

暗号化されたトラフィックを検査する

AWS Network Firewall は Transport Layer Security (TLS) 検査をサポートしています。これにより、お客様は暗号化されたトラフィックフローの可視性を向上させて、AWS でのセキュリティ体制を強化できます。AWS Network Firewall を使用すると、追加のネットワークセキュリティインフラストラクチャをデプロイまたは管理することなく、TLS セッションを復号化し、Amazon 仮想プライベートクラウド (VPC) インバウンドトラフィックとアウトバウンドトラフィックの両方を検査できます。暗号化と復号は同じファイアウォールインスタンスでネイティブに行われるため、トラフィックがネットワークの境界を超えることはありません。