[レポート]AWS Network Firewall and DNS Firewall security in multi-VPC architectures #reinvent #SEC302-R

2023.01.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、ヌヌです!

本記事は、re:Invent2022のWorkshopセッション AWS Network Firewall and DNS Firewall security in multi-VPC architectures の参加レポートです。

本セッションについて

概要

AWS Network Firewall is a highly available, managed network firewall service for your Amazon Virtual Private Cloud (Amazon VPC). It enables you to easily deploy and manage stateful inspection, intrusion prevention and detection, and web filtering to protect your virtual networks on AWS. AWS Network Firewall automatically scales with your traffic, ensuring high availability with no additional customer investment in security infrastructure. While AWS Network Firewall secures the network traffic to your applications, Route 53 DNS firewall complements it by performing filtering and securing DNS query traffic to the Route 53 resolver.

スピーカ

  • Partik Mankad
  • Anandprasanna Gaitonde

Learning Objectives

  • AWS Network Firewallのキーコンセプトの紹介
  • IaCを使ってAWS Network Firewallをデプロイする方法
  • AWS Network Firewallを利用したトラフィックのフィルター・セキュリティー
  • AWS Network FirewallのOpen Sourceルールを利用する方法
  • Route 53 DNS Firewallを利用したDNS trafficのフィルター・セキュリティー

セッションの内容

AWS Network Firewall

AWS Network Firewallの特徴

  • Packet filtering: 大きい IP Block/Allow リスト、Stateless/Statefulルール、プロトコルの検知・
  • 可視化やレポーティング機能
  • 中央管理: AWS Firewall ManagerやIaCを利用した管理

AWS Network Firewallの構造

  • Gateway
    • Gatewayを通じてVPCを通過する全てのリクエストをルーティング可能
  • AWS Network Firewall
    • AWSネットワークに入る全てのトラフィックを検査・フィルターリングする
  • Subnets
    • VPC内にあるリソースのリクエストはIGWにルーティングする前、Network Firewallを通じてルーティングすることが可能
  • Managed
    • AWS Firewarll ManagerやAWS Organizationsなどのサービスを利用して管理可能
  • Log published
    • S3, Amazon Kinesis, CloudWatchなどのサービスにログをパブリッシュ可能

重要構成要素

  • ルールグループ:トラフィックを検査しルールと一致するパケット及びトラフィックフローを処理するためルールをグループ化したこと
  • ポリシー:一部のポリシーの動作の設定とStateless/Statefulルールグループの集合を定義したこと
  • FireWall:ファイアウォールは保護対象のVPCに適用する。一つのファイアウォールでは一つのファイアウォールルールが必要。ネットワークのトラフィック及びファイアウォールのトラフィックに関する情報の記録などの設定をする。

他のサービスとの比較

Amazon Route 53 Resolver DNS Firewall

Amazon Route 53 Resolver DNS Firewallの特徴

  • DNS Filtering機能
  • 中央管理
  • Managed rules: AWSから管理されるマネージドルールでMalware保護
  • 可視化やレポーティング機能

重要構成要素

  • ドメインリスト:DNSフィルターに使用する名前を指定しでメインの仕様のグールプを定義する。各グループの各ルールでは単一のドメインリストが必要
  • ルールグループ:DNSクエリをフィルターリングするたのDNSファイアウォールルールのグループ。
  • ルール:DNSファイアウォールルールグループでDNSクエリに関するルールを定義する。各ルールは一つのドメインリストやドメインリストの仕様と一致するDNSクエリに対して実装する作業を設定する。一致するクエリに対して許可、ブロックまたはアラート設定やブロックされたクエリに対するリクエストを設定できる。

アーキテクチャー

分散型デプロイモデル(Network Firewall)

集約型デプロイモデル(Network Firewall)

結合型デプロイモデル(Network Firewall)

向上されたVPC routing(Network Firewall)

Network FirewallとDNS Firewall、両方を使用

最後に

本セッションを通じてNetwork FirewallとRoute 53 Resolver DNS Firewallを触ることができました。時間内でワークショップのラボを完了できませんでしたが、各機能について試しることができてよかったです。