Centralized network traffic inspection: Key insights & lessons learned

セッション概要

• タイトル：Centralized network traffic inspection: Key insights & lessons learned
• 日付：2024年12月2日(月)
• Venue： MGM Grand | Level 3 | 307
• スピーカー：
  • Joe Flanagan, Senior Networking Specialist SA, AWS
  • Mehdi Dahane, Specialist Solutions Architect – Networking, Amazon Web Services
• 概要：AWS Transit GatewayまたはAWS Cloud WANとAWS Network FirewallまたはGateway Load Balancerを使用した集中型ネットワークトラフィックフィルタリングは、多くのお客様に採用されている一般的なアーキテクチャーです。 このアーキテクチャーには、運用とコスト効率の面で多くの利点があります。このセッションでは、一元化されたフィルタリングの利点を確認し、お客様と協力してこのアーキテクチャーの計画と実行を成功させるためのAWSの経験から貴重な教訓を学びます。

はじめに

今回のセッションでは、「集中化されたネットワークトラフィックチェック」をテーマに、AWS Network Firewallに関する主な概念と実践的なケースについて説明しました。このセッションを選択した理由は、ネットワークセキュリティの最新のトレンドとそれを費用対効果の高い方法で運営する方法を学ぶことでした。特に、このセッションで主に取り上げられたのは、集中型アーキテクチャと分散型アーキテクチャの比較、AWS Firewall Managerなどの統合セキュリティ管理ツール、およびCloud WANによるグローバルネットワーク管理のスケーラビリティでした。

AWS Network Firewallの基本機能と管理

AWS Network Firewallは、完全に管理されたサービスで、ディープパケットチェック、侵入防止システム（IPS）、ウェブフィルタリングなどをサポートし、一元管理できます。

AWS Network Firewallは、ネットワークセキュリティ運用における顧客の負担を大幅に軽減する完全管理型サービスです。セキュリティポリシー、ネットワークの可視性、スケーラビリティのいずれも、AWS Firewall Managerを介して統合管理が可能です。このサービスは高可用性を基本として提供し、トラフィック暗号化検査もサポートし、ネットワーク保護をさらに強化するという。特に、AWS Network Firewallはパートナーエコシステムと統合することができ、サードパーティのファイアウォールアプライアンスをクラウド環境に簡単に適用できるという利点があります。

集中型と分散型アーキテクチャの比較

集中型アーキテクチャはコスト効率に優れていますが、それに反して分散型アーキテクチャはアプリケーション所有者の自律性を強化しています。

集中型アーキテクチャは、ファイアウォールの管理とコスト構造を簡素化し、すべてのトラフィックを1つのファイアウォールで検査するため、ポリシー管理が容易になり、NAT Gatewayなどのコストも削減できます。一方、分散型アーキテクチャには、各 VPC 所有者がファイアウォールを直接運用し、ルーティングが簡素化されるという利点があります。ただし、分散型では複数のNATゲートウェイとファイアウォールエンドポイントを展開する必要があるため、大規模なトラフィック環境ではコストが急激に増加する可能性があることを考慮する必要があります。

セキュリティポリシーの最適化と自動化

一元化されたセキュリティポリシーは管理の複雑さを減らし、開発者が迅速に要求を処理できるようにするという。

AWS Network Firewallによる集中型セキュリティポリシー管理は、セキュリティ管理の効率を最大化します。ポリシーには、IPアドレスの代わりに変数とプレフィックスリストを使用して変更時の柔軟性を高めることができます。また、自動化された承認プロセスと展開プロセスにより、開発者の要求処理時間が短縮され、これらのプロセスは開発者とオペレータ間のコラボレーションの強化に貢献しています。

コスト分析とチャージバックの管理

集中型チャージバックシステムは、ネットワークセキュリティコストの透明性と予測可能性を改善すると言われています。

AWS Transit GatewayとCloud WANを使用すると、各アカウントのトラフィック使用量に応じて正確なチャージバック（コスト配分）が可能になります。お客様は、Flow LogsとAthenaを使用してトラフィック使用量を分析し、AWS Cost and Usage Reportを使用して各アカウントにコストを割り当てることができます。このようなアプローチは、ネットワークで実際に発生したコストだけを負担すればよいので、セキュリティコストについて明確に知ることができる良いアプローチであるようです。

Cloud WANを活用したグローバルネットワーク管理

AWS Cloud WANはグローバルネットワーク管理を簡素化し、動的ルーティングをサポートして大規模なネットワーク管理の負担を軽減します。

AWS Cloud WANは、単一の管理インターフェイスでグローバルネットワークを設定、管理、監視するためのツールです。このソリューションは、ポリシーに基づいてネットワークセグメントを定義し、動的ルーティングを介して複雑なトラフィック管理を効率化すると言います。具体的には、Cloud WANはDirect Connect Gatewayとの統合をサポートし、オンプレミスとクラウドネットワークの接続をより簡単にするのに役立ちます。これにより、グローバル環境でも効率的なトラフィックフローを維持できるようになります。

まとめ

最後に、アーキテクチャの概要として集中化され、管理の利便性が高いように設計されたアーキテクチャを紹介しました。 AWSのイベントなので、AWSサービスだけで構成した点で物足りなさが残って適用できるサービスはすでに適用されているアーキテクチャでしたが、AWSアメリカとAWS韓国のスタッフが考えて推薦してくれるアーキテクチャが似ているという点で、若干の興味深さも発見できました。

記事 │MEGAZONECLOUD　Cloud Technology Center（CTC）　Cloud FSI SA 3チーム　チョン・ハフンSA