クラウドネイティブサービスのシンプルさで高度なセキュリティ機能を実現: Cloud NGFW for AWS

はじめに

AWS でクラウドネイティブサービスとして NGFW が使えることをご存知でしょうか。

Cloud NGFW for AWS は、Amazon Web Services (AWS) のプラットフォーム上でパロアルトネットワークスの次世代ファイアウォール (NGFW) 機能を提供するサービスです。弊社が管理するマネージドクラウドネイティブサービスとして、2022 年 3月から AWS Marketplace で提供を開始しています。

AWS マーケットプレイスのスクリーンショットです。パロアルトネットワークスの Cloud Next-Generation Firewall (PAYG with 15-Day Free Trial) が表示されています。 — 図1. 2023年3月から、Cloud NGFW for AWS は AWS マーケットプレイスから利用可能に

Cloud NGFW が提供するサービス

Cloud NGFW は App-ID、Threat Prevention、Advanced URL Filteringを提供しています。

App-ID

レイヤー 3 やレイヤー 4 のプロトコルやポートにもとづく制御だけでなく、レイヤー 7 のアプリケーションを中心とする高度なアプリケーション識別により、きめ細かくトラフィックを制御します。

Threat Prevention

継続的に更新されるシグネチャを使い、脆弱性エクスプロイト、マルウェア、C2 通信から組織を自動的に保護します。

Advanced URL Filtering

インラインに実装されたディープラーニング検出で、Webベースの既知・未知の脅威をリアルタイムに防止します。とくに回避型の脅威に対しても有効な高度な保護機能を実現します。

Cloud NGFWとほかのクラウド提供型ファイアウォール (AWS Networks Firewall、VM-Series) が提供する機能の違いは、本稿「Cloud NGFW とほかのファイアウォール機能との比較」セクションで解説します。

Cloud NGFW の提供環境

Cloud NGFW のリソースは、AWS の仮想プライベートクラウドである Amazon Virtual Private Clouds (VPC) 上で提供されます。レジリエンシー、スケーラビリティ、ライフサイクル管理が組み込まれたこのリソースは、複数の AWS アベイラビリティゾーンをまたいで、AWS リージョン内の異なる場所に分散しています。これによりほかのアベイラビリティゾーンで発生した障害から分離されます。これらのアベイラビリティゾーンは、同じ AWS リージョン内のほかのアベイラビリティーゾーンへ、低レイテンシーでネットワーク接続を提供します。

この図ではセキュリティマネージメントとインフラマネージメントの2つのエリアが示されています。セキュリティマネージメントのエリアはお客様側のスコープ、インフラマネージメントのエリアはパロアルトネットワークスのスコープです。お客様はファイアウォールルール作成やエンドポイント向けのルーティング、AWS FW マネージャを使った管理をすることが説明されています。パロアルトネットワークス側では脅威シグネチャによるファイアウォールの継続的更新 (NGFW の自動デプロイ) を行い、自動的にスケールアップを行うこと、対象外性が高いこと(99.99% SLA) が説明されています。また、Cloud NGFW とお客様側のエンドポイント向けのルーティングの間で通信が発生する様子が説明されています。 — 図3. セキュリティマネジメントはお客様側で、インフラマネージメントはパロアルトネットワークス側で行う

この図は Cloud NGFW が AWS Gateway Load Balancer を通じて顧客側 VPC の NGFW エンドポイントとのやりとりをする様子を表しています。 — 図4. Cloud NGFW リソースは AWS Gateway Load Balancer を利用するサービス

Cloud NGFW リソースは AWS Gateway Load Balancer を利用するサービスです。このリソースを使用するには、対象の AWS アベイラビリティゾーンごとに VPC に専用サブネットを構成し、サブネット上に Cloud NGFW エンドポイント (Gateway Load Balancer エンドポイント) を作成した後、VPC ルートテーブルを更新して、これらのエンドポイント経由でトラフィックを送信します。

Cloud NGFW コンポーネント

Cloud NGFW のコンポーネントには Rules、Security Services、Objects、Associated Firewalls などがあります。これらのコンポーネントをグループ化し、Rulestackで管理します。Rulestackには、Local RulestackとGlobal Rulestackの 2 つのタイプがあります。

[Local Rulestack]

AWS アカウントのローカル管理者として、AWSアカウント単位で Cloud NGFW に関連付けて管理できます。

[Global Rulestack]

AWS Firewall Manager の管理者として、複数の AWS アカウントを Cloud NGFW に関連付けて、統合的に管理できます。

Local Rulestack と Global Rulestack を組み合わせた階層モデルも構成できます。その場合、Global Rulestack で統合的に管理する共通のルールを定義し、Local Rulestack で個別のルールを定義します。

Rulestack に紐づくコンポーネント

[Rules]

Rules は、送信元と送信先の IP アドレス、送信元と送信先の FQDN、またはアプリケーションなどのトラフィック属性にもとづいて、拒否・許可を定義します。

この図は Applications (App-ID) のUIのスクリーンショットです。Match Criteria のラジオボタン (AnyとMatch)が表示されており、その下に Applications メニューと Edit ボタンが表示されています。 — 図7. [Rules] Applications (App-ID) 設定画面

[Security Services]

この図は IPS and Spyware Threats Protection の設定画面です。IPS VulnerabilityのグループとAnti-Spyware グループが表示されており、いずれのグループでも「BestPractice」オプションが選ばれています。 — 図8. [Security Services] IPS and Spyware Threats Protection の設定画面

Security Services は、許可されたトラフィックに対してウイルス、マルウェア、スパイウェアなどの脅威に関するスキャンを定義します。

[Objects]

図9. この図は左側に Prefix List,FQDN List, Custom URL Category, Intelligent Feed, Certificates のメニューが表示されています。Intelligent Feed が選択され、詳細メニューが右ペインに表示されています。 — 図9. [Objects] Intelligent Feed の設定画面

Objects は、IP アドレス、完全修飾ドメイン名 (FQDN)、インテリジェントフィード、証明書などをグループ化した単位です。単一の Rulestack を対象に適用します。

[Associated Firewalls]

Associated Firewalls は、Rulestack を Cloud NGFW リソースに関連付けます。Cloud NGFW リソースの構成では、NGFW エンドポイントの作成方法 (自動または手動) を選択する必要があります。手動を選択した場合は、指定したアベイラビリティゾーンに NGFW エンドポイントを手動で作成します。

Logging は、Amazon Cloudwatch、Amazon S3、Amazon Kinesis と連携可能です。

Logging は、Amazon Cloudwatch、Amazon S3、Amazon Kinesis と連携可能であることを示すための AWS の 3 つのアイコンを横に並べて表示しています。 — 図10. Logging は Amazon Cloudwatch、Amazon S3、Amazon Kinesis と連携可能

この図は、Log Type の設定画面です。Traffic、Threat、Decrpytion の 3 つのチェックボックスが表示されています。これらのチェックボックスはすべて有効になっています。Log Destination が AploAltoCloudNGFW に設定されています — 図11. [Associated Firewalls] LogTypeの設定画面

以下に Amazon Cloudwatch で出力したログサンプルを示します。

[トラフィックログ]

[URL フィルタリングログ]

Cloud NGFW とほかのファイアウォール機能との比較

この図は、AWS Network Firewall、Cloud NGFW for AWS、Palo Alto Networks Self-managed VM-Series を3つの機能や特徴を比較ししているマトリクスです。Cloud Native、Security、Additional の大きく 3 グループに Need (必要性) がグループ分けされており、AWS Network Firewall は Cloud Native であること、Cloud NGFW for AWS では CloudNative であることに加えて Security グループの機能が追加されること、Palo Alto Networks Self-managed VM-Series では Cloud Native ではないが Security と Additional の機能が利用できることが解説されています。 — 図14. AWS Network Firewall、Cloud NGFW for AWS、Palo Alto Networks Self-managed VM-Series の機能比較

AWS Network Firewall も Cloud NGFW もどちらも AWS 上でデプロイできて運用がシンプルです。Cloud NGFW であれば、このシンプルさに加え、上の表の Security の項目の各機能が提供され、さらにセキュリティを強化できます。

なお、マルチクラウドの管理ニーズをお持ちの場合は、VM-Seriesが選択肢になるでしょう。自社のニーズに合わせた最適なソリューションを探してください。

おわりに

AWS 向けに設計された Cloud NGFW では、パロアルトネットワークスの高度なセキュリティを AWS のネイティブサービスと同じくらい簡単に導入できます。デプロイ、ソフトウェアメンテナンス、拡張などの運用をパロアルトネットワークスが一括で行うフルマネージドサービスなので、VM-Series と比べ、運用管理にかかる時間や手間も削減でき、従量制課金で利用できます。

また本サービスは、Cloud NGFW for AWS がサポートするすべての AWS リージョンで利用でき、15 日間無料で試用できます。この機会にぜひパロアルトネットワークスが提供するクラウドネイティブサービスを体験してみてください。

サービスレベルアグリーメントはこちらから確認できます。

クラウドネイティブサービスのシンプルさで高度なセキュリティ機能を実現: Cloud NGFW for AWS

はじめに