翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Network Firewallと AWS Transit Gateway を使用してファイアウォールをデプロイする
シュリカント・パティル (AWS) によって作成されました
コードリポジトリ: aws-network-firewall-deployment-with-transit-gateway | 環境:PoC またはパイロット | テクノロジー: DevOps、ネットワーク、セキュリティ、アイデンティティ、コンプライアンス |
AWS サービス: AWS Network Firewall、AWS Transit Gateway、Amazon VPC、Amazon CloudWatch |
[概要]
このパターンは、AWS Network Firewallと AWS Transit Gateway を使用してファイアウォールをデプロイ方法を表示しています。Network Firewall リソースは、AWS CloudFormation テンプレートを使用してデプロイされます。ネットワークファイアウォールは、ネットワークトラフィックに合わせて自動的にスケーリングし、数十万の接続をサポートできるため、独自のネットワークセキュリティインフラストラクチャの構築と維持について心配する必要はありません。Transit Gateway は、仮想プライベートクラウド (VPC) とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。
このパターンでは、ネットワーキングアーキテクチャにインスペクション VPC を組み込む方法も学習します。最後に、このパターンでは、Amazon CloudWatch を使用してファイアウォールのアクティビティモニタリングをリアルタイムで提供する方法について説明します。
ヒント:ネットワークファイアウォールサブネットを使用してその他の AWS サービスをデプロイすることは避けるのがベストプラクティスです。これは、Network Firewall がファイアウォールサブネット内の送信元または発信先からのトラフィックを検査できないためです。
前提条件と制限
前提条件
アクティブなAWS アカウント
AWS Identity and Access Management (IAM) ロールとポリシーの権限
CloudFormation テンプレートのアクセス許可
制約事項
ドメインのフィルタリングに問題があり、別の種類の設定が必要になる可能性があります。詳細については、Network Firewallドキュメントの「AWS Network Firewallのステートフルドメインリストのルールグループ」 を参照してください。
アーキテクチャ
テクノロジースタック
Amazon CloudWatch Logs
Amazon VPC
AWS Network Firewall
AWS Transit Gateway
ターゲットアーキテクチャ
次のダイアグラムは、ネットワークファイアウォールとTransit Gateway を使用してトラフィックを検査する方法を示しています。
![](images/pattern-img/4268bbb9-5209-44fc-bc10-6fa2948a6c08/images/f54da0ae-178a-4212-8dd1-1db4b3246bf7.png)
アーキテクチャには、以下のコンポーネントが含まれます。
アプリケーションは 2 つのスポーク VPC でホストされます。VPC はネットワークファイアウォールによって監視されます。
Egress VPC はインターネットゲートウェイに直接アクセスできますが、ネットワークファイアウォールによって保護されていません。
Inspection VPC は、ネットワークファイアウォールがデプロイされる場所です。
自動化とスケール
インフラストラクチャCloudFormationをコード として使用することで、 を使用してこのパターンを作成できます。
ツール
AWS サービス
Amazon CloudWatch Logs は、すべてのシステム、アプリケーション、AWS のサービスからのログを一元化するのに役立ちます。これにより、ログをモニタリングして安全にアーカイブできます。
Amazon Virtual Private Cloud (Amazon VPC) を使用すると、定義した仮想ネットワーク内で AWS リソースを起動できます。この仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークに似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。
「AWS Network Firewall」 は、 AWS クラウドの VPC に対して、ステートフルでマネージド型のネットワークファイアウォールならびに侵入検知および防止サービスです。
AWS Transit Gateway は VPC とオンプレミスネットワークを接続する一元的ハブです。
Code
このパターンのコードは、 GitHub Transit Gateway リポジトリを使用した AWS Network Firewall デプロイ
エピック
タスク | 説明 | 必要なスキル |
---|---|---|
CloudFormation テンプレートを準備してデプロイします。 |
| AWS DevOps |
タスク | 説明 | 必要なスキル |
---|---|---|
Transit Gateway を作成します。 |
| AWS DevOps |
Transit Gateway アタッチメントを作成します。 | 「以下のTransit Gateway アタッチメントを作成します」。
| AWS DevOps |
Transit Gateway ルートテーブルを作成します。 |
| AWS DevOps |
タスク | 説明 | 必要なスキル |
---|---|---|
検査 VPC にファイアウォールを作成します。 |
| AWS DevOps |
ファイアウォールポリシーを作成します。 |
| AWS DevOps |
VPC ルートテーブルを更新します | インスペクション VPC ルートテーブル
SpokeVPCA ルートテーブル プライベートルートテーブルで、 スポーク VPCB ルートテーブル プライベートルートテーブルで、 egress VPC ルートテーブル egress パブリックルートテーブルで、SpokeVPCA ブロックとスポーク VPCB CIDR ブロックをTransit Gateway ID に追加します。プライベートサブネットについても同じ手順を繰り返します。 | AWS DevOps |
タスク | 説明 | 必要なスキル |
---|---|---|
ファイアウォールのロギング設定を更新します。 |
| AWS DevOps |
タスク | 説明 | 必要なスキル |
---|---|---|
EC2 インスタンスを起動してセットアップをテストします。 | スポーク VPC 内に 2 つの 「Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを起動します」。1 つはジャンプボックス用、もう 1 つはテスト接続用です。 | AWS DevOps |
メトリクスを確認します。 | メトリクスはまずサービスの名前空間ごとにグループ化され、次に各名前空間内のさまざまなディメンションの組み合わせごとにグループ化されます。Network Firewall CloudWatch の名前空間は です
| AWS DevOps |