AWS Control Tower を使用した堅牢なネットワーク設計

Amazon Web Services (寄稿者)

2024 年 9 月 (ドキュメント履歴)

セキュリティは、あらゆる組織にとって重要な役割を果たします。アプリケーションセキュリティの主な要素の 1 つはネットワークです。ネットワークの抜け穴は、サイバー犯罪者がアプリケーションを侵害し、システムを制御するためのさまざまな手段を生み出す可能性があります。このガイドでは、AWS Control Tower を使用して AWS Organizations レベルでネットワークを設計する際のベストプラクティスをいくつか定義します。ネットワーク設計の目的は、管理の容易化、セキュリティの向上、AWS クラウド でホストされているアプリケーションの保護を実現することです。この目的を達成するために、ネットワーク設計には、インターネットに出入りするトラフィックを、AWS 内の単一の一元化されたネットワークアカウントを経由して検査、フィルタリング、ログ記録する仕組みが含まれます。

対象となるアプローチでは、3 つの仮想プライベートクラウド (VPC) を持つ一元化されたネットワークアカウントを使用します。スポーク VPC およびインターネットからのインバウンドトラフィックとアウトバウンドトラフィックは、AWS WAF と AWS Network Firewall によってフィルタリングされます。また、トラフィックのルーティングは AWS Transit Gateway および VPC エンドポイントによってサポートされます。

前提条件

一元化されたネットワークアカウント

組織のネットワーク全体を管理する場合は、ネットワークコンポーネントやネットワークサービスの管理専用となる別のアカウントを用意することをお勧めします。まず、ネットワークチームはネットワークサービスを管理するためのアカウント (ネットワークアカウント) の作成を依頼します。新しいアカウントを作成したら、そのアカウント番号を控えておきます。次に、Amazon Virtual Private Cloud (Amazon VPC) の IP Address Manager (IPAM) の管理権限を、AWS Control Tower 管理アカウントからネットワークアカウントに変更します。変更時には、IPAM でアカウントの詳細を指定します。

新しく作成したこのアカウントが、一元化されたネットワークアカウントとなり、次のネットワークサービスを管理します。