はじめに
背景
クラウド利用が広がる中で、ネットワークやアプリケーションへの攻撃リスクも増えています。本レポートは、AWSが提供するファイアウォール関連サービスを整理し、導入や運用の参考になる情報をまとめています。
本レポートの目的
AWSの複数の防御機能の全体像を示し、特に「AWS Network Firewall」の仕組みやメリットを丁寧に解説します。加えて、よく比較される「AWS WAF」との違いを明確にします。具体例を交えて、どの場面でどのサービスを選ぶべきかを分かりやすく示します。
想定読者
ネットワークやセキュリティの導入を検討しているエンジニアや、クラウド運用担当者、意思決定者を想定しています。専門用語は必要最小限に留め、実務で使える観点を重視します。
本レポートの構成
第2章でサービスの全体像を説明し、第3章でAWS Network Firewallを詳述します。第4章でAWS WAFとの比較を行い、使い分けのポイントを提示します。
AWS ファイアウォール関連サービスの全体像
概要
AWS のファイアウォール機能は、複数のレイヤーで防御を組み立てることが大切です。基本的には「セキュリティグループ」と「ネットワークACL」が土台となり、より高度な要件にはマネージドサービスの「AWS Network Firewall」と「AWS WAF」を組み合わせて使います。
基本レイヤー:セキュリティグループとネットワークACL
- セキュリティグループはインスタンス単位のファイアウォールです。例えば、WebサーバーにはTCP 80/443だけを許可するように設定します。状態を保持するため戻り通信は自動で許可されます。
- ネットワークACLはサブネット単位のフィルタです。ステートレスなので、出入りで個別にルールを作ります。外部からの広範なアクセス制御や簡易なブロックに向きます。
マネージドファイアウォールの役割
- AWS Network Firewall は VPC 内でのパケット検査や侵入検知に向きます。シグネチャやステートフルなルールで不正な通信を遮断できます。ファイアウォールポリシーで細かく制御します。
- AWS WAF は HTTP/HTTPS トラフィック専用で、アプリケーション層の攻撃(例:SQLインジェクションやクロスサイトスクリプティング)を防ぎます。ALB や CloudFront と組み合わせて使います。
使い分けの目安(具体例)
- インスタンスへの基本的なアクセス制限:セキュリティグループ
- サブネット単位の簡易な許可/拒否:ネットワークACL
- VPC 内の詳細なパケット検査や脅威防御:AWS Network Firewall
- Webアプリへの攻撃対策やレート制限:AWS WAF
導入時のポイント
各レイヤーが重複しても問題ありません。まずはセキュリティグループで最小権限を設定し、必要に応じて上位のマネージドサービスを追加する設計が現実的です。運用負荷を考え、ログやアラートの設定も早めに整えましょう。
AWS Network Firewall の詳細解説
概要
AWS Network FirewallはVPC単位で適用するマネージド型のネットワーク防御サービスです。主にIPアドレスやポート、プロトコルによるトラフィック制御を行い、必要に応じてIDS/IPS的な検出やTLS検査も組み合わせて使えます。例:特定サブネットからの22番ポート接続を拒否するルールや、既知の悪性IPを自動でブロックする設定が可能です。
主な機能と具体例
- ルールベースのフィルタリング:送信元・宛先IP、ポートに基づき許可・拒否します。例:社内DBへの3306番を社内IPのみに限定。
- IDS/IPS(ルールグループ):署名に基づく不正通信検出で、疑わしい接続を遮断できます。例:既知のマルウェアC2通信の遮断。
- 脅威インテリジェンス利用:外部リストと連携し、悪性IPを自動で取り込めます。
- ログ出力と可視化:FlowログやアラートをCloudWatch/S3に出力し、調査に使えます。
- スケーリングと統合:自動スケールし、Firewall ManagerやTransit Gatewayと連携して一元管理できます。
導入時のポイント
- 適用範囲を明確に:どのサブネットを保護するか計画します。
- ルールの優先度を検討:緊急遮断と通常ルールの順序に注意してください。
- ログとアラートを有効化:想定外の遮断を早期発見できます。
運用の注意点
- 過度なルールで正当な通信を阻害しないようテスト環境で検証します。
- 署名アップデートや脅威リストの更新を定期的に確認します。
- コストとスループット要件を評価し、必要に応じて設計を調整します。
最新の活用例
複数VPCを横断して共通ポリシーを適用する場合、Transit Gateway経由でNetwork Firewallを配置すると管理が楽になります。組織全体のポリシーはFirewall Managerで一元化できます。
AWS WAF との比較
はじめに
ここでは、AWS WAF(Webアプリケーションファイアウォール)とAWS Network Firewallの違いを分かりやすく説明します。どちらも防御の道具ですが、守る対象や使い方が異なります。
主な違い(層と役割)
- WAF:Webのやり取り(HTTP/HTTPS)を詳しく見るサービスです。フォームから送られるデータの不正や、悪意あるスクリプト埋め込み(例:SQLインジェクション、XSS)を検知・遮断します。
- Network Firewall:IPやポート、プロトコルといったネットワークの流れを制御します。ポートスキャン、内部ネットワーク間の不審な通信、不要なプロトコルのブロックに向きます。
ルールと運用の違い
- WAFは管理済みルールやレート制限(短時間のリクエスト多発を抑える)を簡単に使えます。CloudFrontやALBと組み合わせてエッジやアプリ前に置きます。
- Network Firewallはステートフル/ステートレスなトラフィック制御やシグネチャベースの検知が可能で、VPC内やトラフィック集約ポイントに配置します。
具体例での使い分け
- 公開Webサイトに対するログイン試行やフォーム攻撃:WAFでブロック。
- 不審なポートスキャンや内部ホストからの横移動試み:Network Firewallで遮断。
- APIの大量アクセス(ボットによるスクレイピング):WAFのレート制限が有効です。
統合運用のすすめ
両方を組み合わせると効果的です。WAFをエッジでアプリ層の悪意を止め、Network Firewallでネットワーク層の不正を封じます。ログを集めて相関させると検知精度が上がり、運用もしやすくなります。
