【レポート】AWS におけるネットワーク&アプリケーション保護のすすめ #AWS-38 #AWSSummit

2021.05.13

みなさんこんにちは、杉金です。

今回は、2021年5月11日〜31日の間で開催のAWS Summit Online Japanのセッション「AWS におけるネットワーク&アプリケーション保護のすすめ」につきまして、視聴レポートをお伝えします。

セッション情報

スピーカー

アマゾン ウェブ サービス ジャパン株式会社
技術統括本部 レディネスソリューション本部
セキュリティソリューションアーキテクト
中島 智広 氏

セッション概要

このセッションでは、AWS Network Firewall、AWS Firewall Manager、AWS WAF、AWS Shield Advanced によるネットワーク&アプリケーション保護をご紹介します。参加者は、これらのサービスが AWS インフラストラクチャのメリットを拡張し、アプリケーションのセキュリティを向上させるためにどのように役立つかを学ぶことができます。 スタートアップからエンタープライズまで、セキュリティアーキテクチャに関わる方は、このセッションに参加して機能やメリット、考慮点などを学んでください。

レポート

アジェンダ

  • AWSの境界防御サービスの概要
  • アプリケーションの要件に応じた設計の勘所
  • 統制と運用をスケールさせる方法

はじめに

AWSはセキュリティを最優先事項として考えており、お客様の多様なニーズを満たしながら強固かつ最適なセキュリティを実現できるようサービスや機能の拡張を続けている。

セキュリティのメカニズムは導入して終わりではなく、運用は欠かせない。使いやすさ・運用性が重要である。AWSが提供するセキュリティサービスは、AWSの特徴に通じたAWS自身が設計しており、お客様のニーズに耳を傾けながら機能開発を続けている。

セキュリティの取り組みはリスク分析に基づいて優先順位をつけて取り組むことがセオリーである。セキュリティに100%というものはなく、費用対効果を考えながら取り組むことが現実解である。

境界防御のサービス

ネットワークやアプリケーションの境界防御として3つのサービスを紹介

  • AWS Network Firewall
  • AWS WAF
  • AWS Shield Advanced

※AWS Network Firewallは昨年12月のre:Inventで発表された新サービス

AWS Network Firewall

ネットワーク型のファイアウォールをマネージドサービスとして提供
VPCが持つセキュリティグループやネットワークACLではTCP/IPのヘッダーまでしか検査できないが、AWS Network Firewallでは通信の中身まで検査できる。すなわち、IDSやIPSに相当する機能を有している

上図はAWS Network Firewallを利用する際の全体像である。管理者はAWSのVPCコンソールから、ファイアウォールルールを作成して保護するVPCに適用することでサービスを開始できる

  • ネットワークトラフィックに合わせて自動的にスケールし、45Gbpsを超えるスループットにも対応できる
  • 高いレジリエンシーを持ち、SLAは99.99%
  • テクニカルユースケース
    • インターネットからのトラフィックをフィルタリング
    • アウトバウンドトラフィックのフィルタリング
    • VPC同士のトラフィックを検査
    • AWS Direct ConnectとVPNのトラフィックを保護

AWS Network Firewallを構成する基本のアーキテクチャパターン

次の順序で設定を行う

  1. 専用の独立したサブネットを作成してファイアウォールエンドポイントを設ける
  2. 着信と発信のトラフィックがファイアウォールエンドポイントを経由するようにルートテーブルを設定する

Transit Gatewayを用いたアーキテクチャパターン

Transit Gatewayのルートテーブルを用いて、通信をAWS Network Firewall専用のVPCを経由させることで通信の検査を行う。 この構成を採用する場合、VPC1〜4の構成を変更せずにAWS Network Firewallを導入できる。

従来の機能(セキュリティグループ、ネットワークACL)とAWS Network Firewallとの比較

  • AWS Network Firewallは通信の中身を検査できる
  • ドメインベースのフィルタが可能
  • デプロイされているFirewallの数と検査されたトラフィック量に基づいて課金される。事前の決まった料金はなく、使用した分だけの料金となる。

AWS WAF

Webアプリケーションを保護するためのWAF(Web Application Firewall)

  • AWS WAFはCloudFront、ALB、API Gatewayと統合されており、機能をアタッチするのみでサービスを開始できる
  • AWSやサードパーティのルールを組み合わせたカスタマイズが可能

ベースラインのルールとしてAWSマネージドルール for AWS WAFを提供している。アプリケーション固有の脆弱性や、そもそもWAFが得意ではない脆弱性もあるため、アプリケーションそのものをセキュアにすること、必要ならば独自ルールを定義することも忘れないこと

AWS Shield Advanced

DDoS攻撃からリソースを守るためのマネージドサービス

  • Shield Standardは上図のグレーの部分、Shield Advancedは青い部分の機能を提供する
  • DDoS攻撃を100%防ぐ銀の弾丸はないが、これら様々な機能を組み合わせることで十分な緩和・軽減の効果を得られる

  • 独自の検出エンジンや緩和システムを持ち、機械学習の技術を広範に使用している
  • 誤遮断が生じないよう、最も疑わしいトラフィックから徐々にドロップしていく
  • これらは専任のスタッフによって、24時間365日の対応体制が組まれている

所感

セッションレベルは上級者向けとして表記されていましたが、非常に分かりやすく、セキュリティへの苦手意識がある方ほど見るべきセッションだと感じました。前職でDeepSecurityを使った侵入防御の仕組みを構築したことがあリます。セキュリティのメカニズム導入を目的とせずに、その後の運用性や使いやすさも重要視するというメッセージには共感を覚えました。

セッションでは、アプリケーションの要件に応じた設計、統制と運用をスケールする方法など更に深くお話されていますので、興味を持たれた方はぜひ資料やアーカイブをご覧ください!