「AWSの基礎を学ぼう 第四十二回 AWS Network Firewall のおさらい」 #awsbasics 受講メモ

awsbasics.connpass.com

え、セキュリティグループとは違うの？というレベルで受講しました。

セッション

AWS Network Firewall のおさらい

講師：アマゾン ウェブ サービス ジャパン、シニアエバンジェリスト 亀田氏

AWS Network Firewall

• クラウドネイティブファイアウォール
  • 初期費用無し
  • 使った分だけ支払い
• Network Firewall は VPC の1機能みたいなもの
  • WAF は VPC の外側
• 45Gbps超のスループット性能
• ゾーン感アフィニティー、およびセッション均整化

AWS Network Firewall 機能一覧

• パケットフィルタリング
  • ステートレス設定
  • ステートフル設定
  • Deny ファースト
    • どっかで禁止されてればそっちが優先
• 見える化＆レポート
  • CloudWatch、flow log, Kinesis Firehose...
• 一元管理
  • CFn, Terraform...

AWS Network Firewall 概要

• VPC のサブネットごとにエンドポイントを準備する必要あり
• Network Firewall 専用のサブネットを切ることをおすすめ
  • Firewall Subnet - Public Subnet - Private Subnet
  • いわゆるオンプレでの DMZ ライクな実装
    • Firewall Subnet -> Internet Gateway
      • 各 AZ ごとに作成
    • Public Subnet -> Firewall Endpoint
    • Private Subnet -> NAT Gateway

AWS Network Firewall 設定

• Firewall
• Firewall endpoint
• Firewall subnet
• Rule group
• Firewall policy
• Rule group capacity
  • ステートレス : 10,000
  • ステートフル : 30,000
• Stateless 5-tuple filter
  • 5-tuple : 送信元IP/Port, 送信先IP/Port, プロトコルの5個
  • ACL ライク
• Stateful 5-tuple filter
  • 優先度は指定不可、パスルールが優先
  • 許可と拒否を併記する場合、許可が優先される
• Stateful Dmain list filter
• Stateful Suricata compatible IPS rule group
  • オープンソースベースの IPS
  • L7 層、SQL インジェクション防いだり

通信プロトコルとしてのステートフル/ステートレスと通信制御の観点でのステートフル/ステートレスの話を混ぜてしまうと混乱を招くとのこと。

SNI と Encrypted SNI

• SNI : 1台で複数の異なる証明書を利用する
  • AWSは1つのグローバルIPを複数のドメインで共有する
  • SNI 方式の証明書じゃないと困る

所感

恥ずかしながら、AWS Network Firewall 全然知らずに受けました。 セキュリティグループと勘違いしてた。

DMZ を配置するような感じで利用できるんですね。
セキュリティを集中管理し、ログもちゃんと分析するには準備したほうがいいのでしょうが、そのレベルに達するにはまだまだ修行が必要そうです。