え、セキュリティグループとは違うの?というレベルで受講しました。
セッション
AWS Network Firewall のおさらい
講師:アマゾン ウェブ サービス ジャパン、シニアエバンジェリスト 亀田氏
AWS Network Firewall
- クラウドネイティブファイアウォール
- 初期費用無し
- 使った分だけ支払い
- Network Firewall は VPC の1機能みたいなもの
- WAF は VPC の外側
- 45Gbps超のスループット性能
- ゾーン感アフィニティー、およびセッション均整化
AWS Network Firewall 機能一覧
- パケットフィルタリング
- ステートレス設定
- ステートフル設定
- Deny ファースト
- どっかで禁止されてればそっちが優先
- 見える化&レポート
- CloudWatch、flow log, Kinesis Firehose...
- 一元管理
- CFn, Terraform...
AWS Network Firewall 概要
AWS Network Firewall 設定
- Firewall
- Firewall endpoint
- Firewall subnet
- Rule group
- Firewall policy
- Rule group capacity
- ステートレス : 10,000
- ステートフル : 30,000
- Stateless 5-tuple filter
- Stateful 5-tuple filter
- 優先度は指定不可、パスルールが優先
- 許可と拒否を併記する場合、許可が優先される
- Stateful Dmain list filter
- Stateful Suricata compatible IPS rule group
通信プロトコルとしてのステートフル/ステートレスと通信制御の観点でのステートフル/ステートレスの話を混ぜてしまうと混乱を招くとのこと。
SNI と Encrypted SNI
所感
恥ずかしながら、AWS Network Firewall 全然知らずに受けました。 セキュリティグループと勘違いしてた。
DMZ を配置するような感じで利用できるんですね。
セキュリティを集中管理し、ログもちゃんと分析するには準備したほうがいいのでしょうが、そのレベルに達するにはまだまだ修行が必要そうです。