ベストプラクティス - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベストプラクティス

ペリメータゾーンのアプリケーションを AWS クラウドに移行する際には次のベストプラクティスに従うことをお勧めします。

  • Gateway Load Balancer を介してファイアウォールをアプリケーション VPC ネットワークに公開できる場合にのみ、サードパーティーのネットワークファイアウォールをサポートするようにターゲットアーキテクチャを設計します。

  • 信頼できるネットワークを使用して、 AWS アプリケーションの VPC とオンプレミス環境間のトラフィックフローを保護します。信頼できるネットワークは AWS Direct Connect または AWS Site-to-Site VPN を使用して構築できます。

  • ターゲットアーキテクチャを使用して、ウェブアプリケーションを信頼できないネットワークに公開しますが、API では使用しないでください。

  • テストフェーズでは VPC Flow Logs を使用します。正しい構成と検証を必要とする複数のコンポーネントが相互接続されている可能性があるためです。

  • 移行 AWS Network Firewall の設計段階で、各アプリケーションに必要なインバウンドルールとアウトバウンドルール、および での可用性を検証します。

  • Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB AWS のサービス などの外部 が必要な場合は、エンドポイント (エンドポイントのサブネット内) を介してそのサービスをアプリケーション VPC に公開することをお勧めします。これにより、信頼できないネットワーク経由の通信を防止できます。

  • リソースへの EC2 の直接アクセスAWS Systems Manager Session Managerを避けるため、 を介してリソース (この場合は Amazon SSH) へのアクセスを提供します。

  • Application Load Balancer は、アプリケーションの高可用性を高め、Network Firewall を使用して送受信トラフィックをルーティングします。セキュリティサブネット用に個別のロードバランサーは必要ありません。

  • Application Load Balancer は、エンドポイントのサブネットにインターネットに直接アクセスできない場合でも、インターネット向けロードバランサーであることに注意してください。このガイドの Network Firewall に基づくペリメータゾーンのアーキテクチャのセクションにある図では、ルートテーブルエンドポイント Aルートテーブルエンドポイント B にはインターネットゲートウェイはありません。サブネットは Network Firewall によって保護されており、Network Firewall 経由でインターネットにアクセスできます。

  • Network Firewall を使用して、暗号化されていないウェブトラフィックのインバウンドとアウトバウンドのウェブフィルタリングを行います。