セキュリティグループのルール数が 1000 を超える要件を AWS サービスで解決する方法を教えてください

困っていた内容

ネットワークインターフェイス（ENI）あたりのセキュリティグループでルール数 1000 を超える要件があります。AWS のサービスを使って、この要件を満たせる方法を教えてください。

どう対応すればいいの？

AWS サービスでは以下 2 通りの方法が考えられます。

1. AWS Network Firewall を導入する
2. AWS WAF を導入する

導入にはそれぞれ条件があります。

• AWS Network Firewall は 2021/02 時点で東京リージョンに未対応（バージニア北部・オレゴン・シドニー・アイルランドリージョンで環境を構築する）
• AWS WAF は HTTP/HTTPS プロトコルのみ、かつ通信経路上に ALB もしくは CloudFront の配置が必要

上記が許容できない場合、AWS サービスでは実現できません。SaaS のファイアウォール導入・プロキシサーバーを構築するなどの方法を検討してください。

参考資料

• AWS Network Firewall quotas - Network Firewall
• AWS Network Firewall endpoints and quotas - AWS General Reference
• AWS WAF のクォータ - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド
• Amazon VPC でセキュリティグループルールの制限を増やす