一元化されたインバウンド検査 - スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築
AWS WAF インターネットからのインバウンドトラフィックを検査 AWS Firewall Manager するための および

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

一元化されたインバウンド検査

インターネット向けアプリケーションの性質上、攻撃領域が大きく、他のほとんどのタイプのアプリケーションが直面する必要がない脅威のカテゴリにさらされます。これらのタイプのアプリケーションに対する攻撃から必要な保護を行い、影響領域を最小限に抑えることは、セキュリティ戦略の中核です。

ランディングゾーンにアプリケーションをデプロイすると、多くのアプリケーションが、パブリックインターネット (コンテンツ配信ネットワーク (CDN) やパブリック向けウェブアプリケーションなど) 経由で、パブリック向けロードバランサー、API ゲートウェイ、またはインターネットゲートウェイ経由で直接アクセスされます。この場合、インバウンドアプリケーション検査に AWS Web Application Firewall (AWS WAF ) を使用するか、Gateway Load Balancer または を使用して IDS/IPS インバウンド検査を使用してワークロードとアプリケーションを保護できます AWS Network Firewall。

ランディングゾーンにアプリケーションをデプロイし続けると、インバウンドインターネットトラフィックを検査する必要がある場合があります。これを実現するには、サードパーティーのファイアウォールアプライアンスを実行する Gateway Load Balancer を使用する分散型、集中型、または複合型の検査アーキテクチャを使用するか、オープンソースの Suricata ルールを使用して AWS Network Firewall 高度な DPI および IDS/IPS 機能を使用します。このセクションでは、Gateway Load Balancer と の両方について、トラフィックをルーティングするための中央ハブ AWS Transit Gateway として機能する を使用して、一元化されたデプロイ AWS Network Firewall で説明します。

AWS WAF インターネットからのインバウンドトラフィックを検査 AWS Firewall Manager するための および

AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトやボットからウェブアプリケーションまたは APIs を保護するウェブアプリケーションファイアウォールです。 AWS WAF は、ボットトラフィックを制御し、SQL インジェクションやクロスサイトスクリプティング (XSS) などの一般的な攻撃パターンをブロックするセキュリティルールを作成できるようにすることで、トラフィックがアプリケーションに到達する方法を制御できるようにします。特定のトラフィックパターンを除外するルールをカスタマイズすることもできます。

CDN ソリューションの一部として Amazon AWS WAF にデプロイできます CloudFront 。ウェブサーバーをフロントする Application Load Balancer、REST API の Amazon API Gateway APIs 、または GraphQL API AWS AppSync の です。 APIs

をデプロイしたら AWS WAF、ビジュアルルールビルダー、JSON のコード、 によって管理されるマネージドルールを使用して独自のトラフィックフィルタールールを作成したり AWS、 からサードパーティーのルールをサブスクライブしたりできます AWS Marketplace。これらのルールは、指定されたパターンに対してトラフィックを評価することで、不要なトラフィックを除外できます。さらに、Amazon を使用して CloudWatch 、受信トラフィックのメトリクスとログをモニタリングできます。

内のすべてのアカウントとアプリケーションにわたって一元管理するために AWS Organizations、 を使用できます AWS Firewall Manager。 AWS Firewall Manager は、ファイアウォールルールを一元的に設定および管理できるセキュリティ管理サービスです。新しいアプリケーションが作成され AWS Firewall Manager ると、共通のセキュリティルールのセットを適用することで、新しいアプリケーションとリソースを簡単にコンプライアンスに導入できます。

を使用すると AWS Firewall Manager、Application Load Balancer、API Gateway インスタンス、および Amazon CloudFront distributions. AWS Firewall Manager integrates の AWS WAF ルールを for AWS マネージドルール に簡単にロールアウトできます。これにより AWS WAF、事前設定済みのキュレーションされた AWS WAF ルールをアプリケーションに簡単にデプロイできます。 AWS WAF による一元管理の詳細については AWS Firewall Manager、「一元管理 AWS WAF (API v2)」および「 による大規模な AWS マネージドルール 管理 AWS Firewall Manager」を参照してください。

を使用した一元的なインバウンドトラフィック検査を示す図 AWS WAF

を使用した一元的なインバウンドトラフィック検査 AWS WAF

前述のアーキテクチャでは、アプリケーションはプライベートサブネット内の複数のアベイラビリティーゾーンの Amazon EC2 インスタンスで実行されています。Amazon EC2 インスタンスの前に公開されている Application Load Balancer (ALB) がデプロイされ、異なるターゲット間でリクエストの負荷分散が行われます。は AWS WAF ALB に関連付けられています。

利点

  • AWS WAF Bot Control を使用すると、アプリケーションへの一般的および広範なボットトラフィックを可視化し、制御できます。

  • の マネージドルールを使用すると AWS WAF、ウェブアプリケーションまたは APIs をすばやく開始し、一般的な脅威から保護できます。Open Web Application Security Project (OWASP) Top 10 セキュリティリスク、 WordPress や Joomla などのコンテンツ管理システム (CMS) に固有の脅威、さらには新たな共通脆弱性識別子 (CVE) などの問題に対処するルールタイプなど、多くのルールタイプから選択できます。マネージドルールは新しい問題が発生すると自動的に更新されるため、アプリケーションの構築により多くの時間を費やすことができます。

  • AWS WAF はマネージドサービスであり、このアーキテクチャの検査にアプライアンスは必要ありません。さらに、Amazon Data Firehose . AWS WAF gives を介してほぼリアルタイムのログを提供し、ウェブトラフィックをほぼリアルタイムで可視化します。これを使用して、Amazon で新しいルールまたはアラートを作成できます CloudWatch。

主な考慮事項

  • は ALB、ディストリビューション、API Gateway ごとに統合されているため、このアーキテクチャ AWS WAF は HTTP ヘッダー検査と CloudFront 分散検査に最適です。リクエストボディはログに記録 AWS WAF されません。

  • 2 番目の ALB セット (存在する場合) に向かうトラフィックは、2 番目の ALB セットに新しいリクエストが行われるため、同じ AWS WAF インスタンスによって検査されない場合があります。