翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 集中インバウンド検査
<a name="centralized-inbound-inspection"></a>

インターネット向けアプリケーションは、その性質上、攻撃対象領域が大きく、他のほとんどのタイプのアプリケーションが直面する必要がない脅威のカテゴリにさらされます。これらのタイプのアプリケーションに対する攻撃から必要な保護を行い、影響領域を最小限に抑えることは、セキュリティ戦略の中核です。

ランディングゾーンにアプリケーションをデプロイすると、多くのアプリケーションが、パブリックインターネット (コンテンツ配信ネットワーク (CDN) 経由、パブリック向けウェブアプリケーション経由など) 経由で、パブリック向けロードバランサー、API ゲートウェイ経由で、またはインターネットゲートウェイ経由で直接アクセスされます。この場合、インバウンドアプリケーション検査に AWS Web Application Firewall (AWS WAF) を使用するか、Gateway Load Balancer または を使用して IDS/IPS インバウンド検査を使用して、ワークロードとアプリケーションを保護できます AWS Network Firewall。

ランディングゾーンにアプリケーションをデプロイし続けると、インバウンドインターネットトラフィックを検査する必要がある場合があります。これを実現するには、サードパーティーのファイアウォールアプライアンスを実行する Gateway Load Balancer を使用する分散型、集中型、または複合型の検査アーキテクチャを使用するか、オープンソースの Suricata ルールを使用して AWS Network Firewall 高度な DPI および IDS/IPS 機能を使用します。このセクションでは、トラフィックをルーティングするための中央ハブ AWS Transit Gateway として機能する を使用した、一元化されたデプロイ AWS Network Firewall における Gateway Load Balancer と の両方について説明します。

## AWS WAF インターネットからのインバウンドトラフィックを検査 AWS Firewall Manager するための および
<a name="waf-and-firewall-manager"></a>

AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトやボットからウェブアプリケーションまたは APIs を保護するウェブアプリケーションファイアウォールです。 AWS WAF は、ボットトラフィックを制御し、SQL インジェクションやクロスサイトスクリプティング (XSS) などの一般的な攻撃パターンをブロックするセキュリティルールを作成できるようにすることで、トラフィックがアプリケーションに到達する方法を制御できるようにします。特定のトラフィックパターンを除外するルールをカスタマイズすることもできます。

CDN ソリューション、ウェブサーバーをフロントする Application Load Balancer、REST API 用の Amazon API Gateway、または GraphQL APIs AWS AppSync の一部として Amazon AWS WAF Amazon CloudFront にデプロイできます。 APIs

デプロイしたら AWS WAF、ビジュアルルールビルダー、JSON のコード、 が管理するマネージドルールを使用して独自のトラフィックフィルタールールを作成したり AWS、 からサードパーティールールをサブスクライブしたりできます AWS Marketplace。これらのルールは、指定されたパターンに対してトラフィックを評価することで、不要なトラフィックを除外できます。Amazon CloudWatch をさらに使用して、受信トラフィックメトリクスとログ記録をモニタリングできます。

のすべてのアカウントとアプリケーションを一元管理するために AWS Organizations、 を使用できます AWS Firewall Manager。 AWS Firewall Manager は、ファイアウォールルールを一元的に設定および管理できるセキュリティ管理サービスです。新しいアプリケーションが作成されると、 は、一般的な一連のセキュリティルールを適用することで、新しいアプリケーションとリソースを簡単にコンプライアンスに取り込む AWS Firewall Manager ことができます。

を使用すると AWS Firewall Manager、Application Load Balancer、API Gateway インスタンス、Amazon CloudFront distributions. AWS Firewall Manager integrates AWS マネージドルール for の AWS WAF ルールを簡単にロールアウトできます。これにより AWS WAF、事前設定済みの厳選された AWS WAF ルールをアプリケーションに簡単にデプロイできます。 AWS WAF による一元管理の詳細については AWS Firewall Manager、[「Centrally manage AWS WAF (API v2) and AWS マネージドルール at scale with AWS Firewall Manager](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/)」を参照してください。

![\[を使用した一元的なインバウンドトラフィック検査を示す図 AWS WAF\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)


前述のアーキテクチャでは、アプリケーションはプライベートサブネットの複数のアベイラビリティーゾーンの Amazon EC2 インスタンスで実行されています。Amazon EC2 インスタンスの前に公開されている Application Load Balancer (ALB) がデプロイされ、異なるターゲット間でリクエストをロードバランシングします。は AWS WAF ALB に関連付けられています。

### 利点
<a name="advantages-21"></a>
+ [AWS WAF Bot Control](https://aws.amazon.com/waf/features/bot-control/) を使用すると、アプリケーションへの一般的および広範なボットトラフィックを可視化して制御できます。
+ [の マネージドルール AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules)を使用すると、ウェブアプリケーションまたは APIs をすばやく開始し、一般的な脅威から保護できます。Open Web Application Security Project (OWASP) Top 10 セキュリティリスク、WordPress や Joomla などのコンテンツ管理システム (CMS) に固有の脅威、新しい共通脆弱性識別子 (CVE) などの問題に対処するルールタイプから選択できます。マネージドルールは、新しい問題が発生すると自動的に更新されるため、アプリケーションの構築により多くの時間を費やすことができます。
+ AWS WAF はマネージドサービスであり、このアーキテクチャの検査にアプライアンスは必要ありません。さらに、[Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/) を介してほぼリアルタイムのログを提供します。 AWS WAF はウェブトラフィックをほぼリアルタイムで可視化し、Amazon CloudWatch で新しいルールやアラートを作成するために使用できます。

### 主な考慮事項
<a name="key-considerations-42"></a>
+ このアーキテクチャは、ALB、CloudFront ディストリビューション、API Gateway ごとに AWS WAF が統合されているため、HTTP ヘッダー検査と分散検査に最適です。 AWS WAF はリクエスト本文をログに記録しません。
+ ALB の 2 番目のセット (存在する場合) に向かうトラフィックは、ALB の 2 番目のセットに新しいリクエストが行われるため、同じ AWS WAF インスタンスによって検査されない場合があります。

# サードパーティーアプライアンスによる一元的なインバウンド検査
<a name="centralized-inspection-third-party"></a>

このアーキテクチャ設計パターンでは、別の検査 VPC の Application/Network Load Balancer など、Elastic Load Balancer (ELB) の背後にある複数のアベイラビリティーゾーンに、サードパーティーのファイアウォールアプライアンスを Amazon EC2 Load Balancer にデプロイします。

検査 VPC と他のスポーク VPCsは、VPC アタッチメントとして Transit Gateway を介して接続されます。スポーク VPCs のアプリケーションは、内部 ELB によるフロントエンドであり、アプリケーションタイプに応じて ALB または NLB のいずれかになります。インターネット経由のクライアントは、Firewall アプライアンスの 1 つにトラフィックをルーティングする検査 VPC 内の外部 ELB の DNS に接続します。Firewall はトラフィックを検査し、次の図に示すように内部 ELB の DNS を使用して Transit Gateway を介してスポーク VPC にトラフィックをルーティングします。サードパーティーアプライアンスを使用したインバウンドセキュリティ検査の詳細については、AWS [環境ブログ記事の「サードパーティーファイアウォールアプライアンスを AWS 環境に統合する方法](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/)」を参照してください。

![\[サードパーティーのアプライアンスと ELB を使用した一元的な進入トラフィック検査を示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)


## 利点
<a name="advantages-22"></a>
+ このアーキテクチャは、サードパーティーのファイアウォールアプライアンスを通じて提供される検査および高度な検査機能の任意のアプリケーションタイプをサポートできます。
+ このパターンでは、ファイアウォールアプライアンスからスポーク VPCs への DNS ベースのルーティングがサポートされているため、スポーク VPCs 内のアプリケーションは ELB の背後で個別にスケーリングできます。
+ ELB で Auto Scaling を使用して、検査 VPC 内のファイアウォールアプライアンスをスケーリングできます。

## 主な考慮事項
<a name="key-considerations-52"></a>
+ 高可用性を実現するには、複数のファイアウォールアプライアンスをアベイラビリティーゾーンにデプロイする必要があります。
+ フロー対称性を維持するために、ファイアウォールを で設定し、ソース NAT を実行する必要があります。つまり、クライアント IP アドレスはアプリケーションに表示されません。
+ ネットワークサービスアカウントに Transit Gateway とインスペクション VPC をデプロイすることを検討してください。
+ サードパーティーベンダーのファイアウォールのライセンス/サポートの追加コスト。Amazon EC2 の料金はインスタンスタイプによって異なります。

# Gateway Load Balancer でファイアウォールアプライアンスを使用してインターネットからのインバウンドトラフィックを検査する
<a name="inspecting-inbound-traffic-fa"></a>

お客様は、多層防御戦略の一環として、サードパーティーの次世代ファイアウォール (NGFW) と侵入防止システム (IPS) を使用します。 通常、これらはハードウェアまたはソフトウェア/仮想アプライアンス専用です。Gateway Load Balancer を使用すると、次の図に示すように、これらの仮想アプライアンスを水平方向にスケーリングして、VPC との間で送受信されるトラフィックを検査できます。

![\[Gateway Load Balancer でファイアウォールアプライアンスを使用した一元的な進入トラフィック検査を示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)


前述のアーキテクチャでは、Gateway Load Balancer エンドポイントは個別のエッジ VPC 内の各アベイラビリティーゾーンにデプロイされます。次世代ファイアウォール、侵入防止システムなどは、一元化されたアプライアンス VPC の Gateway Load Balancer の背後にデプロイされます。このアプライアンス VPC は、スポーク VPCs と同じ AWS アカウントまたは異なる AWS アカウント内に配置できます。仮想アプライアンスは Auto Scaling グループを使用するように設定でき、Gateway Load Balancer に自動的に登録されるため、セキュリティレイヤーの自動スケーリングが可能になります。

これらの仮想アプライアンスは、インターネットゲートウェイ (IGW) を介して管理インターフェイスにアクセスするか、アプライアンス VPC の踏み台ホスト設定を使用して管理できます。

VPC イングレスルーティング機能を使用して、エッジルートテーブルが更新され、インバウンドトラフィックがインターネットから Gateway Load Balancer の背後にあるファイアウォールアプライアンスにルーティングされます。検査されたトラフィックは、Gateway Load Balancer エンドポイントを介してターゲット VPC インスタンスにルーティングされます。Gateway [ Load Balancer を使用するさまざまな方法の詳細については、「 AWS Gateway Load Balancer の紹介: サポートされているアーキテクチャパターン](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/)」ブログ記事を参照してください。 Load Balancer

# 集中進入 AWS Network Firewall に を使用する
<a name="using-network-firewall-for-centralized-ingress"></a>

このアーキテクチャでは、残りの VPC に到達する AWS Network Firewall 前に、イングレストラフィックが によって検査されます。 VPCs この設定では、トラフィックは Edge VPC にデプロイされたすべてのファイアウォールエンドポイントに分割されます。ファイアウォールエンドポイントと Transit Gateway サブネットの間にパブリックサブネットをデプロイします。ALB または NLB を使用できます。これには、スポーク VPCsながら、スポーク VPC に IP ターゲットが含まれます。 Auto Scaling 

![\[AWS Network Firewall を使用した進入トラフィック検査を示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)


 このモデル AWS Network Firewall での のデプロイと管理を簡素化するために、 AWS Firewall Manager を使用できます。Firewall Manager を使用すると、一元化された場所で作成した保護を複数のアカウントに自動的に適用することで、さまざまなファイアウォールを一元管理できます。Firewall Manager は、Network Firewall の分散デプロイモデルと集中デプロイモデルの両方をサポートしています。ブログ記事[「 AWS Network Firewall を使用してデプロイする方法 AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/)」には、モデルの詳細が記載されています。

## を使用したディープパケットインスペクション (DPI) AWS Network Firewall
<a name="deep-packet-inspection-with-network-firewall"></a>

 Network Firewall は、イングレストラフィックに対してディープパケットインスペクション (DPI) を実行できます。Network Firewall は、 AWS Certificate Manager (ACM) に保存されている Transport Layer Security (TLS) 証明書を使用して、パケットの復号、DPI の実行、パケットの再暗号化を行うことができます。Network Firewall で DPI を設定する際の考慮事項がいくつかあります。まず、信頼できる TLS 証明書を ACM に保存する必要があります。次に、復号化と再暗号化のためにパケットを正しく送信するように Network Firewall ルールを設定する必要があります。詳細については、ブログ記事「暗号化[されたトラフィックの TLS 検査設定」および AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/)「」を参照してください。

## 一元化された進入アーキテクチャ AWS Network Firewall における の主な考慮事項
<a name="key-considerations-66"></a>
+ Edge VPC の Elastic Load Balancing は、IP アドレスをホスト名ではなくターゲットタイプとしてのみ持つことができます。前の図では、ターゲットはスポーク VPC の Network Load Balancer のプライベート IPs です。 VPCs エッジ VPC で ELB の背後にある IP ターゲットを使用すると、Auto Scaling が失われます。
+ ファイアウォールエンドポイントに を 1 つの時間枠 AWS Firewall Manager として使用することを検討してください。
+ このデプロイモデルは、エッジ VPC に入ると同時にトラフィック検査を使用するため、検査アーキテクチャの全体的なコストを削減できる可能性があります。