COLUMN

2024.08.28 ｜ Writer：NTT東日本　アベ

徹底解説！AWS Network Firewallとは？

近年、クラウドサービスを利用する企業・自治体が増加しています。一方で、重要な情報を多く取り扱うクラウドサービスを狙った不正アクセスや情報漏洩など、セキュリティリスクも高まっています。

これらのセキュリティリスクに対応するため、世界的に利用企業の多いAWSではさまざまなサービスを提供しています。

本記事では、AWSのセキュリティサービスの一つである「AWS Network Firewall」の機能や仕組み、メリットについて解説します。

NTT東日本では、生成AIやクラウドに関する情報をメールマガジンにて発信しています。ご購読を希望される方は、ぜひこちらからご登録ください。

1. AWS Network Firewallとは？
2. AWS Network Firewallの仕組み
3. AWS Network Firewallの機能: 3-1. パケットフィルタリング; 3-2. 保護機能の自動適用; 3-3.トラフィックの可視化
4. AWS Network Firewallの構成: 4-1. ファイアウォール; 4-2.ファイアウォールポリシー; 4-3. ルールグループ
5. AWS Network Firewallを導入するメリット: 5-1. リソースの保護; 5-2. 高い可用性の確保; 5-3. インフラの管理・運用コスト削減
6. NTT東日本のソリューションでセキュリティリスク対策を万全に
7. まとめ

1. AWS Network Firewallとは？

AWSでは、インフラ内のセキュリティを保つためのサービスをいくつか提供しています。その一つであるAWS Network Firewallは、仮想プライベートクラウド（VPC）に必要な保護を簡単に設定し、トラフィックをフィルタリングできるマネージドサービスです。AWS WAF（ウェブアプリケーションを狙った攻撃から、アプリケーションを保護するファイアウォールサービス）やネットワークACL（リソースへのアクセス可否設定を番号付けしたリスト）といった、セキュリティサービスの保護機能に対する管理・メンテナンスを簡素化し、通信の許可や拒否をルール別に定義できます。

AWSのベストプラクティスに基づき御社のAWS環境のセキュリティ診断をします！詳細はこちらご確認ください！

2. AWS Network Firewallの仕組み

AWS Network Firewallは、VPC外部とサブネットの間で発生するトラフィックをフィルタリングしてサブネット内部を保護します。AWS Organizations（複数のAWSアカウントを集中管理するサービス）やAWS Firewall Manager（ファイアウォールルールの設定・管理を行うセキュリティサービス）との連携によって、ファイアウォールのポリシーを一元的に適用できます。また、分析ツールに合わせてログを送信することで、ファイアウォールアクティビティやトラフィックの可視性が向上します。

「AWS Network Firewall」公式HP、仕組みの図を元に著者が手を加え作成した
参考：AWS Network Firewall

AWSのベストプラクティスに基づき御社のAWS環境のセキュリティ診断をします！詳細はこちらご確認ください！

3. AWS Network Firewallの機能

AWS Network Firewallが提供する機能は、主に以下の3つです。

3-1. トラフィックフィルタリング

ファイアウォールポリシーに基づいて、VPCの境目でトラフィックをフィルタリングします。フィルタリングに設定できる項目は以下の通りです。

プロトコル
送信元、送信先IPアドレス
送信元、送信先ポート

また、送信先ドメイン名によってHTTP/HTTPSのアクセス制御が可能です。

3-2. 保護機能の自動適用

AWS Organizationsを利用することで、一元管理する全てのVPCとAWSアカウントに対して設定を適用します。これにより、新たにリソースやアカウントを作成した場合でも、自動的に保護を有効化します。

3-3.トラフィックの可視化

読み込んだデータのパフォーマンスをグラフ表示できるCloudWatchのメトリクスを利用して、リアルタイムでファイアウォールのアクティビティを可視化します。またログの出力先を、S3、CloudWatch、Kinesis Data Firehoseから選択できます。

AWSのベストプラクティスに基づき御社のAWS環境のセキュリティ診断をします！詳細はこちらご確認ください！

4. AWS Network Firewallの構成

AWS Network Firewallは、以下の3つのリソースで構成されています。

4-1. ファイアウォール

保護機能の本体となるファイアウォールです。ファイアウォール用のサブネットにVPCエンドポイントを作成して、ファイアウォールポリシーと紐づけることで、トラフィックを制御します。また、ファイアウォールのログ設定などの定義もこのリソースで行います。

4-2. ファイアウォールポリシー

ファイアウォールによる制御を定義するポリシーです。ルールグループの順序付けやデフォルト動作の設定を行います。ファイアウォールとファイアウォールポリシーは、必ず1対1の関係になっています。

4-3. ルールグループ

ネットワークトラフィックを制御するルールをまとめたグループです。ファイアウォールポリシーには最低1つ以上のルールグループが必要になります。また、「ステートレスルールグループ」と「ステートフルルールグループ」を分けて設定可能です。

AWSのベストプラクティスに基づき御社のAWS環境のセキュリティ診断をします！詳細はこちらご確認ください！

5. AWS Network Firewallを導入するメリット

AWSを利用しているクラウド環境にAWS Network Firewallを導入するメリットをご紹介します。

5-1. リソースの保護

AWS Network Firewallを利用することで、サブネット内のリソース全体を保護できます。ファイアウォールルールをきめ細かく設定してポリシー単位で適用することで、要件に合ったリソースの保護と正確な通信制御を実現します。

5-2. 高い可用性の確保

AWS Network Firewall はAWSマネージドサービスであるため、基盤はAWS側が管理しています。これにより高い可用性でサービスが提供されており、AWSのサービスレベルアグリーメント（SLA）では99.99%の稼働率を保証しています。

5-3. インフラの管理・運用コスト削減

AWS Network Firewallの利用によって、以下のコストを削減できます。

運用コスト：トラフィックの負荷に応じてファイアウォールのキャパシティが自動的にスケールアップ・ダウンすることで、運用コストを削減できます。
時間的コスト：保護機能の自動適用により、ファイアウォールルールを何度も設定する時間的コストを削減できます。
監視コスト：CloudWatchへのログ送信により、異常のあるアクティビティを自動的に通知することで、監視コストを削減できます。

AWS Network Firewallについて詳しく知りたい方は、こちらからお問い合わせください。

6. NTT東日本のソリューションでセキュリティリスク対策を万全に

AWSでは、数多くのサービスや機能が日々更新されており、導入以降も最適なセキュリティリスク対策を行っていく必要があります。NTT東日本では、クラウド環境をチェックするサービスとして「クラウドセキュリティチェック for AWS」を提供しています。客観的なチェックとレポートの共有を行います。AWSが提供するベストプラクティスに基づいたチェック項目で、クラウド環境の適切なセキュリティ対策を実施しましょう。

AWSのセキュリティ設定に不安はないですか？セキュリティチェックの実施はNTT東日本にお任せください！