AWSネットワークスペシャリストがネットワークインスペクション設計パターンを解説！設計パターンも紹介します😎

本記事では、AWS環境におけるネットワークインスペクションの設計パターンについて解説します。ネットワークインスペクションは、セキュリティ対策として重要ですが、トラフィック量や複雑性が増大するにつれて、設計の難易度も上がっていきます。本記事では、AWSの各種サービスを活用した具体的な設計パターンを紹介しますので、皆様のAWS環境におけるネットワークセキュリティ強化の一助となれば幸いです。

インスペクションサービスの概要

AWSでは、ネットワークセキュリティ強化のために、さまざまなインスペクションサービスを提供しています。主なサービスとその特徴は以下の通りです。

サービス	特徴
セキュリティグループ	ステートフルなファイアウォール機能を提供し、インスタンスレベルでのトラフィック制御が可能。インバウンド・アウトバウンドのルール設定が可能で、ルールがない場合は暗黙的に拒否される。VPCピアリングでも利用可能。
ネットワークアクセスコンロリスト(NACL)	ステートレスなファイアウォール機能を提供し、サブネットレベルでのトラフィック制御が可能。インバウンド・アウトバウンドのルール設定、明示的な許可・拒否ルール設定が可能。
Route 53 リゾルバー DNS ファイアウォール	Route 53リゾルバーとリゾルバーエンドポイントに対するDNSファイアウォール機能を提供。マネージドサービスとして提供され、DNSトラフィックの許可・拒否を簡単に設定できる。カスタムドメインリストやAWSマネージドリストを利用可能。
ゲートウェイロードバランサー	ネットワークアプライアンスをデプロイするためのロードバランサー。透過的なコンストラクトとして動作し、元のトラフィックを変更せずにファイアウォールで検査することが可能。水平スケーリング、フォールトトレランスなどを提供。
AWS Network Firewall	マネージドサービスとして提供されるネットワークファイアウォール。ネットワークトラフィックの増加に合わせて自動的にスケールし、インフラストラクチャ管理の負担を軽減。Amazon S3、CloudWatch Logs、Kinesis Data Firehoseなどの宛先にログを送信可能。
AWS WAF	HTTP/HTTPSリクエストを検査し、Webアプリケーションを保護するファイアウォール。アプリケーションロードバランサー(ALB)やCloudFrontと統合して利用できる。

AWSの階層型セキュリティ

セキュリティ対策は、多層的なアプローチで実装することが重要です。AWSでは、以下の階層でセキュリティ対策を実施することができます。

階層	セキュリティ対策
VPC内	セキュリティグループ、NACLなどを利用して、VPC内のリソースを保護します。
VPC境界	AWS Network Firewall、Amazon Route 53 リゾルバー DNS ファイアウォールなどを利用して、VPCに出入りするトラフィックを検査・保護します。
アプリケーション	AWS WAFなどを利用して、アプリケーション自体を保護します。
可視化	Amazon VPC Flow Logs、Amazon Traffic Mirroringなどを利用して、ネットワークトラフィックの可視化を実現します。
オーケストレーション	AWS Firewall Managerなどを利用して、上記のセキュリティコンストラクトを一元管理します。

セキュリティグループを超えて

セキュリティグループとNACLは基本的なセキュリティ対策として有効ですが、より高度なセキュリティ要件に対応するためには、それらを越えた対策が必要となる場合があります。その理由としては、以下の点が挙げられます。

要件	対策
スケール	セキュリティグループとNACLは、設定可能なルール数に制限があります。セキュリティグループはデフォルトで60ルール、最大1,000ルール、NACLはデフォルトで20ルール、最大40ルールまで設定可能です。 これらの制限を超えるルールが必要な場合は、AWS Network Firewallなどの追加のセキュリティコンストラクトを検討する必要があります。
検査深度	セキュリティグループとNACLは、OSIモデルのネットワーク層とトランスポート層で動作します。そのため、アプリケーションレベルのルール設定やプロトコル検知、FQDNフィルタリングなどの機能は提供していません。これらの機能が必要な場合は、AWS Network Firewall、Amazon Route 53 リゾルバー DNS ファイアウォール、AWS WAFなどのサービスを検討する必要があります。
一元管理	セキュリティグループとNACLは、それぞれ個別に管理する必要があります。そのため、多数のVPCやアカウントでセキュリティ設定を管理する場合、運用が煩雑になる可能性があります。AWS Firewall Managerを利用すると、セキュリティグループ、ネットワークファイアウォールルール、DNSファイアウォールなどを一元管理することができます。

ゲートウェイロードバランサーの重要性

ゲートウェイロードバランサーは、AWS Network Firewallと連携して利用する際に重要な役割を果たします。ゲートウェイロードバランサーは、透過的なコンストラクトとして動作するため、元のトラフィックを変更せずにファイアウォールで検査することができます。また、ゲートウェイロードバランサーは、水平スケーリング、フォールトトレランスなどの機能を提供するため、高可用性・スケーラビリティの高いネットワークインスペクションアーキテクチャを実現することができます。

インスペクション設計パターン

AWS Network Firewallを例に、具体的なインスペクション設計パターンを2つ紹介します。

設計パターン	設計内容
分散型デプロイメントモデル	各VPCに個別にファイアウォールをデプロイするモデルです。VPC間のトラフィックやVPCとオンプレミス間のトラフィックを検査する必要がある場合に有効です。各VPCのトラフィック要件に合わせて個別にファイアウォールを設定できるため、柔軟性が高い一方、管理対象のファイアウォールが増えるため、運用負荷が高くなる可能性があります。
集中型デプロイメントモデル	専用のインスペクションVPCにファイアウォールを集中配置し、複数のVPCのトラフィックをルーティングするモデルです。一元管理が可能となり、運用負荷を軽減できます。ただし、すべてのトラフィックが集中するため、インスペクションVPCのネットワーク帯域幅を適切に設計する必要があります。

まとめ

本記事では、AWS環境におけるネットワークインスペクションの設計パターンについて解説しました。セキュリティ対策は、多層的なアプローチで実装することが重要であり、AWSの各種サービスを組み合わせることで、さまざまなセキュリティ要件に対応することができます。

本記事で紹介した設計パターンは、あくまで一例であり、最適な設計はシステムの要件によって異なります。AWS Network Firewallの活用方法や、その他のセキュリティサービスとの連携、AWSモダナイズ開発、データ分析基盤構築とデータ活用支援、基幹業務システムのUI.UX刷新はお気軽にお問い合わせください。