現代のエンタープライズ アーキテクチャでは、クラウド コンピューティングの普及とネットワーク規模の拡大に伴い、セキュリティ管理はますます複雑になっています。 AWS Firewall Manager が誕生し、アカウントやリージョン全体にわたるファイアウォール ルールの展開を簡素化する集中型のセキュリティ ポリシー管理ツールが組織に提供されるようになりました。 Amazon VPC、AWS WAF、サードパーティのファイアウォールルールのいずれを保護する場合でも、Firewall Manager は企業が脅威に迅速に対応し、コンプライアンスを向上させるのに役立ち、エンタープライズクラウドセキュリティ防御システムの中核コンポーネントになります。
AWS ファイアウォールマネージャーとは何ですか?
AWS Firewall Manager は、AWS Organizations 内のアカウントとアプリケーションのファイアウォールルールを一元的に設定および管理できるセキュリティ管理サービスです。
AWS ファイアウォールマネージャーの主な利点
- アカウント間のファイアウォールルールの管理を簡素化
- VPC 保護対策を一元的に展開
- 既存および新規アプリケーションのコンプライアンスを確保する
- マネージドルールをアカウント間で簡単に展開
AWS ファイアウォールマネージャーの機能
- VPC 全体に AWS ネットワーク ファイアウォールを集中的に展開する
- Amazon VPC セキュリティグループ、AWS WAF ルール、AWS Shield Advanced 保護、AWS ネットワークファイアウォールルール、Amazon Route 53 Resolver DNS ファイアウォールルールを自動的にデプロイします。
- 複数アカウントのリソースグループ
- クロスアカウント保護戦略
- 階層的なルールの適用
- コンプライアンス通知を備えたダッシュボード
- VPC 内の既存および将来のセキュリティ グループを監査する
AWS ファイアウォールマネージャーの前提条件
AWS Firewall Manager を使用するには、必須の前提条件が 3 つとオプションの前提条件が 1 つあります。
- AWS 組織 – アカウントは、すべての機能が有効になっている AWS 組織の一部である必要があります。
- AWS Firewall Manager 管理者アカウントを設定する – Firewall Manager は、AWS 組織の管理アカウント、または適切な権限を持つメンバーアカウントに関連付けられている必要があります。リンクされたアカウント
- ファイアウォール マネージャーは、ファイアウォール マネージャー管理者アカウントと呼ばれます。
- アカウントで AWS Config を有効にする – 組織内の各メンバーアカウントに対して AWS Config を有効にします。
- AWS Resource Access Manager を有効にする (オプション) - Firewall Manager が AWS ネットワークファイアウォールを集中的に設定したり、アカウントや VPC 間で Amazon Route 53 リゾルバーの DNS ファイアウォールルールを関連付けたりするには、まず AWS Resource Access Manager を使用してリソース共有を有効にする必要があります。
AWS Firewall Manager の使い方
- まず、上記の前提条件を完了します。
- 次に、AWS WAF、AWS Shield Advanced、VPC セキュリティグループ、AWS ネットワークファイアウォール、または Amazon Route 53 Resolver DNS ファイアウォールのポリシータイプを作成します。
- 3 番目に、ポリシーに基づいてルールまたは保護セットを指定します。たとえば、AWS WAF ポリシーの場合、アカウント全体にデプロイするルールグループ (カスタムまたはマネージド) を指定します。同様に、VPC セキュリティ グループ ポリシーでは、アカウント内の各リソースに複製するセキュリティ グループを参照します。 AWS ネットワークファイアウォールの場合、アカウント内の VPC にデプロイするルールグループ (ステートフルおよびステートレス) を指定します。 Amazon Route 53 Resolver DNS ファイアウォールの場合、アカウント内の VPC に関連付けるルールセット (ルールグループ) を指定します。
- 4 番目に、ポリシーを展開するアカウント、リソース タイプ、および (オプションで) リソース タグを選択して、ポリシーのスコープを指定します。
- 最後に、ポリシーを確認して作成できます。ファイアウォール マネージャーは、アカウントのすべてのリソースにルールと保護を自動的に適用します。
完了すると、ファイアウォール マネージャーは、準拠していないアカウント/リソースと準拠しているアカウント/リソースを示すコンプライアンス ダッシュボードも表示します。
ダッシュボードと可視性
特定のポリシーのコンプライアンスステータスを確認するにはどうすればよいですか?
Firewall Manager を使用すると、ポリシー スコープに含まれるアカウントの数と、そのうち準拠しているアカウントの数を表示することで、各ポリシーのコンプライアンス ステータスをすばやく確認できます。さらに、Firewall Manager で構成されたすべてのポリシーのコンプライアンス ダッシュボードも利用できます。中央コンプライアンス ダッシュボードを使用すると、特定のポリシーに準拠していないアカウントや、準拠していない特定のリソースを確認できるほか、特定のリソースが準拠していない理由に関する情報も提供されます。 AWS Security Hub で各アカウントの非準拠イベントを表示することもできます。
AWS Firewall Manager は、リソースが非準拠になったときに通知を提供しますか?
はい、新しい SNS 通知チャネルを作成して、新しい非準拠リソースが検出された場合にリアルタイム通知を受信できます。同様に、Firewall Manager ポリシーの一部である各アカウントには、AWS Security Hub での非準拠イベントが通知されます。
組織全体のすべての脅威を確認するにはどうすればよいでしょうか?
作成する Firewall Manager ポリシーごとに、ルールグループ内の各ルールの CloudWatch メトリクスを集計して、組織全体で許可またはブロックされたリクエストの数を示すことができます。これにより、組織全体の脅威に関するアラートを一元的に設定できるようになります。
新機能
AWS Firewall Manager が AWS Shield Advanced の自動アプリケーション層 DDoS 緩和をサポートするようになりました
AWS Firewall Manager を使用すると、組織内のアカウント全体に AWS Shield Advanced 自動アプリケーションレイヤー (L7) DDoS 保護を集中的にデプロイできるようになりました。 AWS Shield Advanced の自動 L7 DDoS 保護は、手動による介入なしにアプリケーション層の DDoS イベントをブロックします。このリリースにより、AWS Firewall Manager のセキュリティ管理者は、AWS Shield Advanced の Firewall Manager セキュリティポリシーを使用して、アカウント全体で自動 L7 DDoS 保護を有効にできるようになりました。
まず、Firewall Manager Shield Advanced ポリシーで自動 L7 DDoS 軽減を有効にします。その後、Shield 管理の WAF ルール グループが、保護されたリソースの WAF Web アクセス制御リスト (Web ACL) に追加されます。 Shield Advanced は、リソースに入る通常のトラフィックに対して作成した各 WAF ルールを評価して誤検知を最小限に抑え、カウント、許可、またはブロック モードで展開します。
