ベストプラクティス

ペリメータゾーンのアプリケーションを AWS クラウドに移行する際には次のベストプラクティスに従うことをお勧めします。

• サードパーティのネットワークファイアウォールをサポートするようにターゲットアーキテクチャを設計します。ただし、ファイアウォールを Gateway Load Balancer を介してアプリケーション VPC ネットワークに公開できる場合に限ります。

• 信頼できるネットワークを使用して、 AWS アプリケーションの VPC とオンプレミス環境間のトラフィックフローを保護します。信頼できるネットワークは AWS Direct Connect または AWS Site-to-Site VPN を使用して構築できます。

• ウェブアプリケーションを信頼できないネットワークに公開する場合はターゲットアーキテクチャを使用してください。ただし、API と一緒に使用することは避けてください。

• テスト段階では VPC フローログを使用します。正しい構成と検証を必要とする複数のコンポーネントが相互接続されている可能性があるためです。

• 移行 AWS Network Firewall の設計段階で、各アプリケーションに必要なインバウンドルールとアウトバウンドルール、および での可用性を検証します。

• Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB AWS のサービス などの外部 が必要な場合は、エンドポイント (エンドポイントのサブネット内) を介してそのサービスをアプリケーション VPC に公開することをお勧めします。これにより、信頼できないネットワーク経由の通信を防止できます。

• リソースへの直接 SSH アクセスAWS Systems Manager Session Managerを避けるため、 を介してリソース (この場合は Amazon EC2) へのアクセスを提供します。

• Application Load Balancer は、アプリケーションの高可用性を高め、Network Firewall を使用して送受信トラフィックをルーティングします。セキュリティサブネット用に個別のロードバランサーは必要ありません。

• Application Load Balancer は、エンドポイントのサブネットに直接インターネットアクセスがない場合でも、インターネット向けロードバランサーであることに注意してください。このガイドの Network Firewall に基づくペリメータゾーンのアーキテクチャのセクションにある図では、ルートテーブルエンドポイント A とルートテーブルエンドポイント B にはインターネットゲートウェイはありません。サブネットは Network Firewall によって保護されており、Network Firewall 経由でインターネットにアクセスできます。

• Network Firewall を使用して、暗号化されていないウェブトラフィックのインバウンドとアウトバウンドのウェブフィルタリングを行います。