Cloud Service
AWS Network Firewall
VPC のトラフィックを IPS やドメインフィルタで検査し、ステートフルに制御するマネージド型ネットワークファイアウォール
- 1.VPC のインバウンド・アウトバウンド・VPC 間通信を検査し、ステートフル・ステートレスのルールで制御する
- 2.侵入防御(IPS)や FQDN(ドメイン名)フィルタ、Suricata 互換のルールによる詳細な検査に対応する
- 3.可用性とスケーリングをマネージドで担い、複数 VPC や複数アカウントへ集中型で展開できる
AWS Network Firewall は、VPC のネットワーク境界に配置し、行き交うトラフィックをルールに基づいて検査・制御するマネージド型のネットワークファイアウォールです。ステートレスなパケットフィルタリングに加え、コネクション単位で状態を追跡するステートフル検査、侵入防御(IPS)、ドメイン名によるアウトバウンド制御などをレイヤー 3 からレイヤー 7 にわたって提供します。Security Group やネットワーク ACL がインスタンスやサブネット単位の基本的なフィルタを担うのに対し、より高度で集中的な検査層を担う点が異なります。
解決する課題
VPC 内のワークロードは、外部からの不正アクセスだけでなく、内部から不正なドメインへ通信してしまうマルウェアの挙動や、許可されていない宛先へのデータ持ち出しなど、双方向の脅威にさらされます。Security Group やネットワーク ACL は IP アドレスやポートを基準とした制御に向く一方、通信のペイロードを深く検査したり、ドメイン名や既知の攻撃シグネチャに基づいて制御したりするのは不得手です。
AWS Network Firewall は、こうした深い検査と細やかな制御を VPC の境界で一元的に担います。IPS による既知攻撃パターンの遮断、FQDN フィルタによるアウトバウンド先の限定、プロトコル単位の許可・拒否などを、可用性やスケーリングを自前で運用することなく実現できます。これにより、コンプライアンス要件で求められる「東西・南北の双方向トラフィック検査」を、マネージドな形で構成できます。
主要概念と用語
- ファイアウォール: 検査エンジンと適用範囲を束ねる中心リソース。1 つの VPC に関連付け、検査を行う各アベイラビリティゾーンのサブネットに対してエンドポイントを配置する。
- ファイアウォールポリシー: ファイアウォールに適用するルールグループの集合と、既定の動作を定義したリソース。複数のファイアウォールで再利用できる。
- ステートレスルールグループ: パケットを 1 つずつ評価し、5 タプル(送信元・宛先の IP とポート、プロトコル)などに基づいて高速に許可・拒否・転送を判定するルールの集合。
- ステートフルルールグループ: コネクションの状態を追跡しながら評価するルールの集合。Suricata 互換のルール記法に対応し、IPS シグネチャやドメインフィルタを扱える。
- ファイアウォールエンドポイント: 各アベイラビリティゾーンの専用サブネットに作られる、トラフィックを検査エンジンへ通すための入口。ルートテーブルでここへトラフィックを向ける。
- ドメインリスト(FQDN フィルタ): 許可または拒否するドメイン名の一覧。アウトバウンド通信の宛先をドメイン単位で制御する。
- マネージドルールグループ: AWS が提供・維持するステートフルルールの集合。既知の脅威ドメインや攻撃シグネチャに対応する。
- ログ記録: 検査結果を出力する仕組み。アラート用とフロー用のログを、宛先ごとに設定できる。
仕様・制限・クォータ
Network Firewall はリージョナルなサービスで、検査対象の VPC と同じリージョン・同じアベイラビリティゾーンに専用のファイアウォールサブネットを用意して配置します。トラフィックは VPC のルートテーブルを編集してファイアウォールエンドポイントを経由させる設計のため、サブネット構成とルーティングの理解が前提になります。可用性の観点から、検査対象のゾーンごとにエンドポイントを置くのが基本です。
ステートフルルールは Suricata 互換の記法で記述でき、IPS のシグネチャ照合や TLS の SNI(接続先サーバー名)に基づくドメインフィルタなどを扱えます。1 つのファイアウォールポリシーやルールグループに格納できるルールのキャパシティには上限があり、複雑なルールほど多くのキャパシティを消費します。1 アカウント・1 リージョンあたりのファイアウォール数やルールグループ数などにも上限が設けられています。これらの具体的な数値は変動するため、最新値は AWS 公式ドキュメントのクォータ一覧で確認してください。多くのクォータは Service Quotas から引き上げ申請が可能です。
Network Firewall は配置するだけでは効果がありません。検査したいトラフィックがファイアウォールエンドポイントを必ず通るよう、VPC・サブネット・インターネットゲートウェイのルートテーブルを正しく構成する必要があります。経路から外れた通信は検査されないため、ルーティングの設計と検証が最も重要です。
内部の仕組み
トラフィックはまずステートレスエンジンで評価されます。ここではパケット単位に 5 タプルなどの条件で照合し、許可(Pass)、破棄(Drop)、あるいはステートフルエンジンへの転送(Forward)を高速に判定します。ステートフルエンジンへ転送されたトラフィックは、コネクションの状態を追跡しながら、Suricata 互換ルールによってより詳細に検査されます。ここで IPS シグネチャによる攻撃検知や、ドメイン名に基づくアウトバウンド制御が行われます。
ステートフルルールの評価順序には、ルールを記述順に評価する方式と、アクションの厳格さ(Pass・Drop・Alert などの優先度)に基づいて評価する方式があり、ポリシーで選択します。いずれの方式でも、最終的にどのアクションを適用するかはポリシーの構成に従って決まります。検査エンジンはマネージドに冗長化・スケーリングされ、トラフィック量の増減に応じて自動で容量が調整されるため、利用者がインスタンスのサイジングを行う必要はありません。
ドメインフィルタは、平文の HTTP では Host ヘッダー、暗号化された HTTPS では TLS ハンドシェイク中の SNI を参照して宛先ドメインを判定します。これにより、通信の中身を復号せずにアウトバウンド先をドメイン単位で許可・拒否できます。
設計パターン / ベストプラクティス
複数の VPC を持つ環境では、検査を 1 か所に集約する集中型インスペクションが定石です。Transit Gateway を中心に据え、検査用の VPC に Network Firewall を配置して、VPC 間(東西)通信とインターネット向け(南北)通信をその検査 VPC へ集約します。これにより、各 VPC に個別のファイアウォールを置く構成よりも管理対象が減り、ポリシーの一貫性を保ちやすくなります。
ルールはまず Alert アクションで観測し、正規の通信を誤って遮断しないことをログで確認してから Drop へ切り替えると安全に展開できます。アウトバウンドは「既定で拒否し、必要なドメインだけを許可リストで開ける」方針が堅牢です。AWS マネージドルールグループを基盤に採用し、その上に自組織固有のルールを重ねる多層構成にすると、運用負荷を抑えつつ既知の脅威に追従できます。複数アカウントへ共通ポリシーを展開する場合は、AWS Firewall Manager で組織横断の統制を行えます。設定は IaC(CloudFormation や Terraform など)で管理し、ルーティング変更も含めて再現性と変更履歴を確保することが望ましいです。
新規ルールはまず Alert で導入し、フローログとアラートログで影響範囲を見極めてから Drop へ昇格させると、正規ワークロードの通信を誤って遮断する事故を防げます。
運用・監視
Network Firewall は、検査結果を 2 種類のログとして出力できます。アラートログは、ステートフルルールに一致した通信や検知イベントを記録し、フローログはファイアウォールを通過したトラフィックのメタデータを記録します。これらのログは Amazon CloudWatch Logs、Amazon S3、Amazon Data Firehose のいずれかへ出力できます。また、ファイアウォールの稼働状況に関するメトリクスを CloudWatch に送信するため、処理パケット数や破棄数の急変を CloudWatch アラームで検知できます。
出力したログは Amazon Athena でクエリして通信傾向や攻撃の兆候を分析したり、SIEM へ連携して相関分析に用いたりできます。運用では、マネージドルールグループの更新内容を定期的に確認し、誤検知や新たな脅威への対応状況を継続的に見直すことが重要です。ルーティングや検査の網羅性が崩れていないか、構成変更のたびに検証する運用も欠かせません。
コスト
AWS Network Firewall の料金は主に、配置したファイアウォールエンドポイントの稼働時間に対する課金と、検査したトラフィック量に基づく従量課金で構成されます。エンドポイントはアベイラビリティゾーンごとに配置するため、冗長性を高めるほどエンドポイント分の費用が増える点に留意します。
コストの観点では、各 VPC に個別配置するよりも、検査 VPC へ集約する集中型インスペクションのほうがエンドポイント数を抑えやすく、有利になる場合があります。一方でデータ処理量は集約により集中するため、トラフィック特性に応じて配置を設計することが重要です。料金体系や単価は変動するため、見積もりの際は AWS の料金ページと料金計算ツールで最新の情報を確認してください。
セキュリティ
Network Firewall はネットワーク境界の検査層を担いますが、単独で全脅威を防げるわけではありません。アプリケーション層を守る AWS WAF、DDoS 対策の AWS Shield、インスタンスやサブネット単位のフィルタを担う Security Group やネットワーク ACL などと組み合わせ、多層防御を構成することが前提です。Network Firewall は東西・南北の双方向トラフィックをドメインやシグネチャ単位で制御できる点で、これらを補完します。
ファイアウォールやポリシーの設定変更は IAM で権限を最小化し、誰が何を変更したかを CloudTrail で追跡できるようにします。ログには通信の宛先情報など機微なデータが含まれる場合があるため、出力先の S3 バケットや CloudWatch Logs のアクセス権限を適切に保護し、必要に応じて暗号化を設定してください。
Well-Architected の観点
- セキュリティの柱において、Network Firewall は VPC 境界での深いトラフィック検査を担い、Security Group やネットワーク ACL では実現しにくいドメイン単位・シグネチャ単位の制御を提供する。
- 信頼性の観点では、可用性とスケーリングをマネージドで担うため、利用者がファイアウォール基盤の冗長化やサイジングを運用する必要がない。
- 運用上の優秀性の観点では、ログとメトリクスを CloudWatch や S3 に集約し、検知・分析・対応のサイクルを回すことが推奨される。
- コスト最適化の観点では、集中型インスペクションによりエンドポイント数を抑え、ポリシーを一元管理できる。
試験で問われるポイント
- Network Firewall は VPC 境界での双方向トラフィック検査・IPS・FQDN フィルタを担い、レイヤー 7 の Web 攻撃対策は AWS WAF、DDoS 対策は AWS Shield が主に担う、という役割の違い。
- トラフィックを検査させるには、ファイアウォールエンドポイントを経由するよう VPC のルートテーブルを構成する必要があること。
- ステートレス検査とステートフル検査の違いと、ステートフルルールが Suricata 互換である点。
- アウトバウンドのドメイン制御は、HTTPS では TLS の SNI を参照して行うこと。
- 複数 VPC・複数アカウントでは、Transit Gateway を用いた集中型インスペクションや Firewall Manager による統制が適すること。
関連サービス・比較
Network Firewall は VPC 境界でのトラフィック検査を担い、Security Group はインスタンス(ENI)単位の基本的なステートフルフィルタを担います。両者は競合ではなく、保護の粒度と検査の深さが異なる補完関係にあります。
| 観点 | AWS Network Firewall | セキュリティグループ |
|---|---|---|
| 適用範囲 | VPC 境界(サブネット経由の集中検査) | インスタンスや ENI 単位 |
| 検査の深さ | IPS やドメインフィルタなど深い検査が可能 | IP アドレスとポート中心の基本フィルタ |
| 状態追跡 | ステートフルとステートレスの両方に対応 | ステートフル(戻り通信を自動許可) |
| 主な用途 | 東西・南北の双方向トラフィックの集中制御 | リソースへのアクセス可否の基本制御 |
| 料金 | エンドポイント稼働とデータ処理量に応じた課金 | 追加料金なしで利用できる |
ハンズオン / CLI例
ファイアウォールポリシーを参照してファイアウォールを作成する流れの例です。検査用サブネットの ID やポリシーの ARN は環境に合わせて置き換え、別途ルートテーブルでエンドポイントを経由させる設定が必要です。
# 検査用サブネットを指定してファイアウォールを作成
aws network-firewall create-firewall \
--firewall-name my-firewall \
--firewall-policy-arn arn:aws:network-firewall:ap-northeast-1:123456789012:firewall-policy/my-policy \
--vpc-id vpc-0123456789abcdef0 \
--subnet-mappings SubnetId=subnet-0123456789abcdef0 \
--region ap-northeast-1
# 作成したファイアウォールの状態とエンドポイント情報を確認
aws network-firewall describe-firewall \
--firewall-name my-firewall \
--region ap-northeast-1
AWS Service
AWS Network Firewallを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: AWS / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
侵入防御(IPS)や FQDN(ドメイン名)フィルタ、Suricata 互換のルールによる詳細な検査に対応する
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- AWS
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- SCS-C02 / ANS-C01
- 設計柱
- security
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「VPC のインバウンド・アウトバウンド・VPC 間通信を検査し、ステートフル・ステートレスのルールで制御する」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。