集中進入 AWS Network Firewall に を使用する - スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築
を使用したディープパケットインスペクション (DPI) AWS Network Firewall集中型進入アーキテクチャ AWS Network Firewall における の主な考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

集中進入 AWS Network Firewall に を使用する

このアーキテクチャでは、残りの VPC に到達する AWS Network Firewall 前に、イングレストラフィックが によって検査されます。 VPCs この設定では、トラフィックは Edge VPC にデプロイされたすべてのファイアウォールエンドポイントに分割されます。ファイアウォールエンドポイントと Transit Gateway サブネットの間にパブリックサブネットをデプロイします。ALB または NLB を使用できます。これには、スポーク VPCsながら、IP ターゲットが含まれます。 Amazon EC2 Auto Scaling

AWS Network Firewall を使用した進入トラフィック検査を示す図

AWS Network Firewall を使用したイングレストラフィック検査

このモデル AWS Network Firewall での のデプロイと管理を簡素化するために、 AWS Firewall Manager を使用できます。Firewall Manager では、一元化された場所で作成した保護を複数のアカウントに自動的に適用することで、さまざまなファイアウォールを一元管理できます。Firewall Manager は、Network Firewall の分散デプロイモデルと集中デプロイモデルの両方をサポートしています。ブログ記事「 AWS Network Firewall を使用してデプロイする方法 AWS Firewall Manager」には、モデルの詳細が記載されています。

を使用したディープパケットインスペクション (DPI) AWS Network Firewall

Network Firewall は、イングレストラフィックに対してディープパケットインスペクション (DPI) を実行できます。 AWS Certificate Manager (ACM) に保存されている Transport Layer Security (TLS) 証明書を使用すると、Network Firewall はパケットの復号、DPI の実行、パケットの再暗号化を行うことができます。Network Firewall で DPI を設定する際の考慮事項がいくつかあります。まず、信頼できる TLS 証明書を ACM に保存する必要があります。次に、復号化と再暗号化のためにパケットを正しく送信するように Network Firewall ルールを設定する必要があります。詳細については、ブログ記事「暗号化されたトラフィックの TLS 検査設定」および AWS Network Firewall「」を参照してください。

集中型進入アーキテクチャ AWS Network Firewall における の主な考慮事項

  • Edge VPC の ELB は、IP アドレスをターゲットタイプとしてのみ持つことができ、ホスト名として持つことはできません。前の図では、ターゲットはスポーク VPC の Network Load Balancer のプライベート IPs です。 VPCs エッジ VPC で ELB の背後にある IP ターゲットを使用すると、Auto Scaling が失われます。

  • ファイアウォールエンドポイントの単一画面 AWS Firewall Manager として を使用することを検討してください。

  • このデプロイモデルは、エッジ VPC に入ると同時にトラフィック検査を使用するため、検査アーキテクチャの全体的なコストを削減できる可能性があります。