集中インバウンド検査 - スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築
AWS WAF インターネットからのインバウンドトラフィックを検査 AWS Firewall Manager するための および

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

集中インバウンド検査

インターネット向けアプリケーションの性質上、攻撃対象領域が大きく、他のほとんどのタイプのアプリケーションが直面する必要がない脅威のカテゴリにさらされています。これらのタイプのアプリケーションに対する攻撃から必要な保護を行い、影響領域を最小限に抑えることは、セキュリティ戦略の中核です。

ランディングゾーンにアプリケーションをデプロイすると、多くのアプリケーションが、パブリックインターネット (コンテンツ配信ネットワーク (CDN) 経由、パブリック向けウェブアプリケーション経由など) 経由で、パブリック向けロードバランサー、API ゲートウェイ経由で、またはインターネットゲートウェイ経由で直接アクセスされます。この場合、インバウンドアプリケーション検査に AWS Web Application Firewall (AWS WAF) を使用するか、Gateway Load Balancer または を使用して IDS/IPS インバウンド検査を使用して、ワークロードとアプリケーションを保護できます AWS Network Firewall。

ランディングゾーンにアプリケーションをデプロイし続ける場合、インバウンドインターネットトラフィックを検査する必要がある場合があります。これを実現するには、サードパーティーのファイアウォールアプライアンスを実行する Gateway Load Balancer を使用する分散型、集中型、または複合型の検査アーキテクチャを使用するか、オープンソースの Suricata ルールを使用して AWS Network Firewall 高度な DPI および IDS/IPS 機能を使用します。このセクションでは、トラフィックをルーティングするための中央ハブ AWS Transit Gateway として機能する を使用した、一元化されたデプロイ AWS Network Firewall における Gateway Load Balancer と の両方について説明します。

AWS WAF インターネットからのインバウンドトラフィックを検査 AWS Firewall Manager するための および

AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトやボットからウェブアプリケーションまたは APIs を保護するウェブアプリケーションファイアウォールです。 AWS WAF は、ボットトラフィックを制御し、SQL インジェクションやクロスサイトスクリプティング (XSS) などの一般的な攻撃パターンをブロックするセキュリティルールを作成できるようにすることで、トラフィックがアプリケーションに到達する方法を制御できるようにします。特定のトラフィックパターンを除外するルールをカスタマイズすることもできます。

CDN ソリューション、ウェブサーバーをフロントする Application Load Balancer、REST APIs 用の Amazon API Gateway、または GraphQL APIs の一部として Amazon AWS WAF Amazon CloudFront AWS AppSync にデプロイできます。

デプロイしたら AWS WAF、ビジュアルルールビルダー、JSON のコード、 が管理するマネージドルールを使用して独自のトラフィックフィルタールールを作成したり AWS、 からサードパーティールールをサブスクライブしたりできます AWS Marketplace。これらのルールは、指定されたパターンに対してトラフィックを評価することで、不要なトラフィックを除外できます。Amazon CloudWatch をさらに使用して、受信トラフィックメトリクスとログ記録をモニタリングできます。

のすべてのアカウントとアプリケーションを一元管理するために AWS Organizations、 を使用できます AWS Firewall Manager。 AWS Firewall Manager は、ファイアウォールルールを一元的に設定および管理できるセキュリティ管理サービスです。新しいアプリケーションが作成されると、 は一般的な一連のセキュリティルールを適用することで、新しいアプリケーションとリソースを簡単にコンプライアンスに取り込む AWS Firewall Manager ことができます。

を使用すると AWS Firewall Manager、Application Load Balancer、API Gateway インスタンス、Amazon CloudFront distributions. AWS Firewall Manager integrates AWS マネージドルール for の AWS WAF ルールを簡単にロールアウトできます。これにより AWS WAF、事前設定済みの厳選された AWS WAF ルールをアプリケーションに簡単にデプロイできます。 AWS WAF による一元管理の詳細については AWS Firewall Manager、「Centrally manage AWS WAF (API v2) and AWS マネージドルール at scale with AWS Firewall Manager」を参照してください。

を使用した一元的なインバウンドトラフィック検査を示す図 AWS WAF

を使用した集中インバウンドトラフィック検査 AWS WAF

前述のアーキテクチャでは、アプリケーションはプライベートサブネット内の複数のアベイラビリティーゾーンの Amazon EC2 インスタンスで実行されています。Amazon EC2 インスタンスの前に公開されている Application Load Balancer (ALB) がデプロイされ、異なるターゲット間でリクエストをロードバランシングします。は AWS WAF ALB に関連付けられています。

利点

  • AWS WAF Bot Control を使用すると、アプリケーションへの一般的および広範なボットトラフィックを可視化して制御できます。

  • の マネージドルール AWS WAFを使用すると、ウェブアプリケーションまたは APIs をすばやく開始し、一般的な脅威から保護できます。Open Web Application Security Project (OWASP) Top 10 セキュリティリスク、WordPress や Joomla などのコンテンツ管理システム (CMS) 固有の脅威、新たに出現する共通脆弱性識別子 (CVE) などの問題に対処するルールタイプから選択できます。マネージドルールは、新しい問題が発生すると自動的に更新されるため、アプリケーションの構築により多くの時間を費やすことができます。

  • AWS WAF はマネージドサービスであり、このアーキテクチャの検査にアプライアンスは必要ありません。さらに、Amazon Data Firehose を通じてほぼリアルタイムのログを提供します。 AWS WAF はウェブトラフィックをほぼリアルタイムで可視化し、Amazon CloudWatch で新しいルールやアラートを作成するために使用できます。

主な考慮事項

  • このアーキテクチャは、ALB、CloudFront ディストリビューション、API Gateway ごとに AWS WAF が統合されているため、HTTP ヘッダー検査と分散検査に最適です。 AWS WAF はリクエスト本文をログに記録しません。

  • ALB の 2 番目のセット (存在する場合) に向かうトラフィックは、ALB の 2 番目のセットに新しいリクエストが行われるため、同じ AWS WAF インスタンスによって検査されない場合があります。