NAT ゲートウェイからのトラフィックを検査する - Amazon Virtual Private Cloud
仕組みアプライアンスのアタッチアタッチされたアプライアンスの表示

NAT ゲートウェイからのトラフィックを検査する

Network Firewall Proxy を NAT ゲートウェイにアタッチして、NAT ゲートウェイのトラフィックを検査およびフィルタリングできます。このセキュリティコントロールにより、信頼できる境界外へのデータ漏洩を防ぎ、望ましくないインバウンドレスポンスをブロックできます。

仕組み

Network Firewall Proxy を作成するときは、プロキシをアタッチする既存の NAT ゲートウェイを選択する必要があります。作成されると、プロキシは以下のようになります。

  • プロキシには完全修飾ドメイン名が付属しているため、http および https 接続リクエストをプロキシに送信するようにアプリケーションを設定する必要があります。プロキシはまず、お客様が入力したルールに基づいて接続リクエストのドメイン名をフィルタリングします。お客様が許可した場合、プロキシは DNS クエリを実行してドメインの IP アドレスを取得します。次に、最終送信先との TCP 接続を確立します。TLS 復号が有効かどうかに基づいて、プロキシは IP アドレスとヘッダー属性で TLS 接続をフィルタリングし、IP とヘッダー属性 (ヘッダーアクションと URL パスを含む) がポリシーで許可されている場合にのみ、送信先との TLS 接続を確立します。

  • アプライアンスはトラフィックを検査し、フィルタリングします。

  • 許可されたトラフィックは送信先 (インターネット、オンプレミス環境、または別の VPC) に継続されます。

アプライアンスのアタッチ

アプライアンスは AWS Network Firewall を介して NAT ゲートウェイにアタッチされます。アプライアンスを作成してアタッチするステップについては、「Network Firewall Proxy デベロッパーガイド」を参照してください。

アタッチされたアプライアンスの表示

NAT ゲートウェイにアタッチされたアプライアンスを表示するには、describe-nat-gateways コマンドを使用します。

aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

レスポンスには、以下の内容を示す AttachedAppliances フィールドが含まれます。

  • タイプ – アプライアンスタイプ (例: network-firewall-proxy)

  • ApplianceArn – アタッチされたアプライアンスの ARN

  • AttachmentState – 現在のアタッチメントステータス (attacheddetachingdetachedattach_faileddetach_failed)

  • ModificationState – 現在の変更ステータス (modifyingcompletedfailed)

  • VpcEndpointId – 検査とフィルタリングのためにアプリケーション VPC からプロキシにトラフィックをルーティングするために使用される VPC エンドポイント ID

  • FailureCode – アプライアンスのアタッチメントまたは変更オペレーションが失敗した場合の失敗コード

  • FailureMessage – アプライアンスのアタッチメントまたは変更操作が失敗した場合の失敗を説明するメッセージ