![[小ネタ]NeworkFireWallのTLSインスペクション有効化から無効化にするには](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-7688955ca438c58e1daa9713d99135d8/295311a7376d1f262c57d901ac2dc1cd/aws-audit-manager-1?w=3840&fm=webp)
[小ネタ]NeworkFireWallのTLSインスペクション有効化から無効化にするには
困っていた内容
NeworkFireWallでTLSインスペクション(復号化・検査)を有効にしてIPS/IDS導入後しばらく運用した後でTLSインスペクションを無効にすることはできますか。
どう対応すればいいの?
以下AWSドキュメント内容の記載にあるように、ファイアウォールポリシーの作成後に TLS 検査設定を追加・削除することはできません。
In the Associated policy and VPC section, you can add and remove Availability Zones and subnets and you can associate a different firewall policy. The VPC is fixed after creation.
そのためTLS 検査の有効化・無効化を実施したい場合には、TLS 検査設定を追加したファイアウォールポリシーと TLS 検査設定のないファイアウォールポリシーの両方を作成し、ご利用要件に応じて対象のNetwork Firewallへ関連づけるファイアウォールポリシーを変更し既存の TLS インスペクション構成を別の構成に置き換えてください。
FirewallPolicy
The updated firewall policy to use for the firewall. You can't add or remove a TLSInspectionConfiguration after you create a firewall policy. However, you can replace an existing TLS inspection configuration with another TLSInspectionConfiguration.
参考情報
