2021/05/14

AWS Network Firewallの機能3つ|対応リージョンは?

 
  

AWS Network Firewallとはどんなサービス?


AWS Network Firewallとは、Amazon Virtual Private Cloud(VPC)に必要なネットワークの保護を簡単にデプロイすることができるサービスです。

セットアップが簡単で、数回クリックするだけでネットワークトラフィックに合わせた自動拡張機能がついているようなネットワークセキュリティを確保することができます。

つまり、非常に簡単にネットワークファイアウォールを実現することができるサービスです。

AWS Network Firewallの料金

AWS Network Fireの料金はfirewallのエンドポイントごとに支払います。

また、エンドポイントで処理されたトラフィック料も支払うことになります。さらに、NATgatewayを作成する場合も料金が加算されます。

ネットワークファイヤウォールエンドポイントは1時間ごとに約$0.395、トラフィックは1GBごとに約$0.065を支払います。また、NATgatewayはネットワークファイヤウォールエンドポイントの料金に加算されていきます。

対応するリージョン

AWS Network Firewallに対応するリージョンは多数あります。

2020年の11月に、AWS Network Firewallの東京リージョンが発表されました。その後、2021年の3月5日にAWS Network Firewallの東京リージョンが利用可能となりました。

AWS Network Firewallの機能3つ


AWS Network Firewallには、便利な機能が3つあります。

AWS Network Firewallの柔軟なエンジンを使用すると、ネットワークトラフィックをきめ細かく制御することができ、Networkのsecurityの面でも有効的です。

簡単に使用することができるのが特徴のAWS Network Firewallに、どのような機能があるのかご紹介します。

1:トラフィックに合わせた自動的なスケーリング

AWS Network Firewallは、トラフィックに合わせて冗長性を用いた自動的なスケーリングを提供しています。

トラフィックの負荷に合わせたFirewallの容量の設定を自動的にスケーリングします。安定したパフォーマンスを維持するだけでなく、コストを最小限に抑えることができます。

2:アクティビティのリアルタイム表示

AWS Network Firewallでは、CloudWatchメトリックスを介することにより、ファイアウォールのアクティビティをリアルタイムに表示することができます。

そして、ログをS3、CloudWatch、 Kinesis Firehoseに送ると、ネットワークトラフィックの可視性を上げられます。

3:AWS Firewall Managerと統合されている

AWS Network Firewallは、AWS Firewall Managerと統合しています。よって、セキュリティ管理者がFirewallのルールを一元的に設定できたり、デプロイが容易にできたりするようになりました。

AWS Firewall Managerと統合していることで、デプロイされたNetwork Firewallで下流に自動更新されます。

AWS Network Firewallを導入するメリット5つ


AWS Network Firewallはどのようなサービスか、どういう機能を持っているのかどうかを理解いただけたでしょうか。

AWS Network Firewallはセキュリティ面でインストールしておいたほうが良いサービスだといえるでしょう。

では、AWS Network Firewallを導入することでユーザーにはどのようなメリットがあるのでしょうか?さっそくみていきましょう。

1:コストを抑えられる

AWS Network Firewallを用いることで、ネットワークトラフィックに基づいてファイアウォールの容量を自動的にスケーリングすることができます。

AWS Network Firewallでは、ファイアウォールの容量の大きさで料金が変化します。もちろん使用容量が大きければ大きいほど、コストが大きくなってしまいます。

そこでAWS Network Firewallの自動スケーリング機能により、コストを最小限に抑えることができます。

2:可用性の高さ

AWS Network Firewallは、ネットワークトラフィックに応じて柔軟に拡張することが可能です。

そのため、高い負荷に対しても、自動的に拡張することができるため、AWS Network Firewallには高い可用性があると言えるでしょう。

3:ステートフルなフィルタリングが可能

AWS Network Firewallは送信元/宛先IP、送信元/宛先ポート、およびプロトコルに基づいて、何千ものファイアウォールルールを作成することができます。

そのため、きめ細かいポリシー施行ができ、ステートフルなフィルタリングが可能であると言えます。

4:本来の機能の使用に集中できる

AWS Network Firewallを用いることで、自動的にネットワークトラフィックに応じてファイアウォールを拡張や収縮することができます。

また、ファイアウォールのルールもAWS Firewall Managerと統合されているので自動更新されます。そのため、本来の機能の使用に集中することができます。

5:既存のセキュリティエコシステムと相互運用が可能

Network Firewall は、AWSに関連するCrowdStrike、Palo Alto Networks、そしてSplunkなどを含む、既存のセキュリティエコシステムと相互運用が可能です。

また、Suricataルールセットから既存ルールをインポートする手段も可能です。

AWS Network Firewallの6つの使い方手順


AWS Network Firewallのメリットを理解していただけたでしょうか。AWS Network Firewallの良さがわかったところで、使用方法がわからなければ使用することができません。

それでは実際にAWS Network Firewallを使用するにはどのようにインストールすればいいのかを順に説明していきます。

1:ファイアウォールを作成する

まずは、サブネット上にファイアウォールを作成します。

ファイアウォールの任意の名前やVPCの選択、必要に応じてファイアウォールの説明書きもオプションで行うと良いでしょう。

また、アベイラビリティーゾーンやサブネットを選択し、ファイアウォールを作成します。

2:ファイアウォールポリシーを設定する

ファイアウォール作成と同時に、ファイアウォールポリシーも設定します。

既存のファイアウォールポリシーを使用する場合はそのままで良いですが、新しくファイアウォールを作成する場合は、新しいファイアウォールポリシーに名前をつけます。

また、ここでも必要に応じて説明書きを付け加えておくと後からわかりやすいでしょう。

3:ステートレスルールグループを追加する

次にファイアウォールポリシーのステートレスルールグループを追加します。

AWS Network Firewallでの判定順は、はじめにステートレスルール、その次にステートフルルールという順番です。

ステートレスルールグループでは優先度や検査するトランスポートプロトコル、送信元アドレスや送信先アドレス、送信元ポートや送信先ポートの範囲を設定します。

4:ステートフルルールグループを追加する

ステートレスルールグループが追加できたら、次にステートフルルールグループを追加します。

ステートフルルールを追加することで、より細かいファイアウォールのルールを設定することができます。また、ネットワークトラフィックにも柔軟に対応することが可能となります。

ステートフルルールグループを追加することで、AWS Network Firewallのメリットを活かすことができるでしょう。

5:ルートテーブルを編集する

次にルートテーブルを編集します。

ネットワークでトラフィックがInternet Gatewayを通過する際、Firewall Endpointを通らせるために、Internet Gatewayにルートテーブルを設定します。

Edge Associationsのタブの中に含まれる、既存のInternet Gatewayにルートテーブルを関連づけます。

6:ログ記録を編集する

最後にログ記録を編集します。ログはログタイプを選択することができます。AlertログかFlowログです。

それぞれのログに対して送信先を設定します。Alertログ、Flowログの両方とも「S3」「CloudWatch log group」「Kinesis data firehose」の中から送信先を選択します。

それぞれの送信先が選択できたら、ロググループを作成します。

今後のAWS Network Firewallの日本リージョンへの拡大は?


AWS Network Firewallは、東京リージョンがすでに発表され、利用可能な状態です。

今後、大阪リージョンが発表されるかどうかは定かではありませんが、大阪リージョンは3つのAZを持つという発表がされています。

今後、AWS Network Firewallは、東京リージョンに次いで大阪リージョンが発表される可能性があるでしょう。

AWS Firewallを導入してみよう


AWS Firewallを導入することで、ネットワークセキュリティを確保することができます。

また、AWS Firewallのネットワークセキュリティを導入することで、コスト削減や高い可用性が実現します。ユーザーインターフェイスに沿って数回クリックするだけで、容易にAmazon VPC全体にネットワークセキュリティをデプロイすることができます。

AWS Firewallは、簡単かつ非常に高い信頼度のおけるネットワークセキュリティの一つであると言えるでしょう。

ITエンジニアへのキャリアチェンジならキャリアチェンジアカデミー

この記事の監修者・著者

株式会社オープンアップITエンジニア
株式会社オープンアップITエンジニア
未経験からITエンジニアへのキャリアチェンジを支援するサイト「キャリアチェンジアカデミー」を運営。これまで4500人以上のITエンジニアを未経験から育成・排出してきました。
・AWS、salesforce、LPICの合計認定資格取得件数:2100以上(2023年6月時点)
・AWS Japan Certification Award 2020 ライジングスター of the Year 受賞

おすすめの動画

  • 【未経験からIT業界へ転職するなら】相談窓口とスキルの獲得はここで解決!IT転職が一気に有利に!【キャリアチェンジアカデミー】

  • 【費用一切不要】未経験からIT業界へ転職するならまずはここへ相談!【キャリアチェンジアカデミー】

  • 【何のエンジニアになれるのか?】未経験からITエンジニアを目指すとこんな道がある【キャリアチェンジアカデミー】