AWS Firewall Manager のよくある質問

ページトピック

全般
6
AWS Firewall Manager の有効化
8
ダッシュボードと可視性
3

全般

AWS Firewall Manager は、AWS Organization 内にあるアカウントとアプリケーション全体で一元的にファイアウォールルールを設定、管理できるようにするセキュリティ管理サービスです。新規アプリケーションが作成されると、Firewall Manager はセキュリティルールの共通セットを適用することで、新規アプリケーションとリソースを簡単にこれらに準拠させることができます。ファイアウォールルールを構築し、セキュリティポリシーを作成して、インフラストラクチャ全体にわたって一貫した階層的な方法でそれらを適用する単一のサービスが利用可能になりました。

AWS Firewall Manager は AWS Organizations と統合されており、1 か所から複数の AWS アカウントとリソースにわたって、AWS WAF ルール、AWS Shield Advanced 保護、VPC のセキュリティグループ、AWS Network Firewall、および Amazon Route 53 Resolver DNS Firewall ルールを有効にできます。Firewall Manager は、作成した新しいリソースまたはアカウントをモニタリングして、それらが最初から必須のセキュリティポリシーのセットに準拠していることを確認します。ルールのグループ化や、ポリシーの構築、さらにそれらのポリシーをインフラストラクチャ全体に一元的に適用できます。例えば、複数アカウントにグローバルセキュリティポリシーを適用しつつ、ひとつのアカウント内でアプリケーション固有のルールの作成を委任できます。セキュリティチームは組織への脅威に関する通知を受けることができるため、迅速に攻撃に対処し、これを緩和することができます。

Firewall Manager は AWS WAF 向けのマネージドルールとも統合しており、このため、設定済み WAF ルールをアプリケーションに容易にデプロイすることができます。

セキュリティ管理者は Firewall Manager を活用して、Amazon VPC の EC2 インスタンス、 Application Load Balancer、Elastic Network Interface (ENI) にセキュリティグループルールのベースラインセットを適用できます。同時に、VPC の既存のセキュリティグループを監査することも可能で、制限を超えたルールを確認し、それらを 1 か所から修正できます。

Firewall Manager を活用することで、組織内の VPC 全体に AWS Network Firewall のエンドポイントと関連するルールを一元的にデプロイし、ネットワークを出入りするトラフィックを制御することもできます。 同時に Firewall Manager を使用して、アカウントにある VPC を Route 53 Resolver DNS Firewall のルールに関連付けることができ、既知の悪意のあるドメインに対して行われた DNS クエリをブロックして、信頼できるドメインに対するクエリを許可できるようにします。

AWS Firewall Manager を使用して、AWS WAF ルール、AWS Shield Advanced 保護、Amazon Virtual Private Cloud (VPC) セキュリティグループ、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall ルールを組織内のアカウントとリソース全体で一元的に設定できます。

AWS Firewall Manager を使用すると、次のことが可能になります。 

  • Application Load Balancer、API Gateway、Amazon CloudFront ディストリビューションに AWS WAF ルールを一元的にロールアウトします。 
  • Application Load Balancer や ELB Classic Load Balancer、Elastic IP アドレス、CloudFront ディストリビューションに AWS Shield Advanced 保護を作成することもできます。 
  • 新しい Amazon Virtual Private Cloud (VPC) セキュリティグループを設定し、Amazon EC2、Application Load Balancer (ALB)、ENI リソースタイプの既存のセキュリティグループを監査できます。 
  • 組織内のアカウントと VPC 全体に AWS Network Firewall をデプロイすることもできます。
  • 最後に、AWS Firewall Manager により、組織全体にわたって VPC と Amazon Route 53 Resolver DNS Firewall ルールを関連付けることもできます。
  • VPC サブネットに新しい Amazon 仮想プライベートクラウド (VPC) ネットワークアクセスコントロールリスト (ACL) を設定できます。

AWS Firewall Manager の料金はこちらをご覧ください。

AWS Firewall Manager を現在利用できるリージョンについては、AWS リージョン表をご覧ください。

AWS Firewall Manager の有効化

AWS Firewall Manager を使用するには、3 つの必須の前提条件と 1 つの任意の前提条件があります。

  • AWS Organizations – アカウントは AWS Organizations に属しており、全機能を有効にしておく必要があります。詳細は AWS Organizations ドキュメントをご覧ください。
  • AWS Firewall Manager 管理者アカウントの設定 – Firewall Manager は AWS organization の管理アカウントに関連付けられているか、適切な権限のあるメンバーアカウントに関連付けられている必要があります。Firewall Manager に関連付けるアカウントは Firewall Manager 管理者アカウントと呼ばれます。詳細についてはドキュメントガイドをご覧ください。
  • アカウントで AWS Config を有効化する – 貴社の各メンバーアカウントに対して AWS Config を有効化してください。AWS Config ドキュメントをご覧ください。
  • AWS Resource Access Manager を有効にする (オプション) – Firewall Manager がアカウント間および VPC で AWS Network Firewall を一元的に設定したり、Amazon Route 53 Resolver DNS Firewall ルールを関連付けたりできるようにするには、最初に AWS Resource Access Manager を使ってリソースの共有を有効にする必要があります。
  • まず、上記の前提条件を完了してください。
  • 次に、AWS WAF、AWS Shield Advanced、VPC セキュリティグループ、AWS Network Firewall、または Amazon Route 53 Resolver DNS Firewall のポリシータイプを作成します。
  • 3 番目に、ポリシーに応じて、一連のルールまたは保護を指定します。例えば、AWS WAF のポリシーの場合、アカウント間でデプロイするルールグループ(カスタムまたはマネージド)を指定します。同様に、VPC セキュリティグループポリシーの場合、アカウント内の各リソースにレプリケートするセキュリティグループを参照します。AWS Network Firewall の場合、アカウントの VPC 全体にデプロイするルールグループ(ステートフルおよびステートレス)を指定します。Amazon Route 53 Resolver DNS Firewall の場合、アカウントの VPC に関連付けたいルールセット (ルールグループ) を指定します。
  • 4 番目に、ポリシーをデプロイするアカウント、リソースタイプ、およびオプションでリソースタグを選択して、ポリシーのスコープを指定します。
  • 最後に、ポリシーを確認し、作成します。Firewall Manager は、アカウント全体のすべてのリソースにルールと保護を自動的に適用します。完了すると、Firewall Manager は、非準拠のアカウント/リソースと準拠しているアカウント/リソースを示すコンプライアンスダッシュボードも表示します。

はい。Firewall Manager ポリシーは次の 2 つのモードで設定できます。

  • 自動修正では、ポリシーのドリフトを自動的に監視して非準拠のリソースにルールを適用するようにできます。
  • マニュアル修正では、各アカウントに新しいポリシーと関連するルール/保護を作成しますが、アカウントのリソースにはルールを適用しません。マニュアル修正でポリシーを作成した後は、各ローカルアカウントのマニュアルでのアクションを行うように選択するか、いつでもポリシーを変更して自動的に修正するようにできます。

各 Firewall Manager ポリシーは、最大 2,500 件(AWS Organizations のアカウント数のデフォルトの上限数)のアカウントを持つようにスコープできます。

現時点では、Firewall Manager の管理するリソースの数には制限はありません。

いいえ。AWS Firewall Manager セキュリティポリシーはリージョンに固有のものです。各 Firewall Manager ポリシーはその特定の AWS リージョンで利用できるリソースのみを含むことができます。運営されている各リージョンに対して新規ポリシーを作成してください。

はい。アカウントを除外できます。ポリシーのスコープから除外すべきリソースを指定するようタグを使うこともできます。

Firewall Manager セキュリティポリシーは、お客様が一連のファイアウォールルールに関連付ける必要のあるアカウントとリソースを指定するための一連の設定であり、ファイアウォールの種類ごとにカスタマイズされた追加の設定も含まれます。Firewall Manager は現在、AWS WAF、AWS Shield Advanced、VPC セキュリティグループ、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall、AWS Marketplace サードパーティーのファイアウォールをサポートしています。

ダッシュボードと可視性

Firewall Manager では、ポリシーのスコープにいくつのアカウントが含まれているか、これらの内いくつが準拠しているかを見ることで各ポリシーへの準拠状況を素早く知ることができます。さらに、Firewall Manager で設定された各ポリシーに対して、コンプライアンスダッシュボードがあります。中央のコンプライアンスダッシュボードでは、あるポリシーに対してどのアカウントが非準拠か、具体的にどのリソースが非準拠かを確認でき、また具体的なリソースがなぜ準拠していないかについての理由に関する情報も得られます。 AWS Security Hub の各アカウントの非準拠イベントを表示することもできます。

はい。新 SNS 通知チャネルを作成して、非準拠リソースが発見されたときにリアルタイムで通知を受け取るようにできます。 同様に、Firewall Manager ポリシーの一部としてスコープされた各アカウントには、AWS Security Hub での非準拠イベントが通知されます。

作成した各 Firewall Manager ポリシーに対して、ルールグループ内の各ルールに対する CloudWatch メトリクスを集計し、組織全体にわたっていくつのリクエストが許可されたか、ブロックされたかを示すことができます。こうすると、お客様の組織全体への脅威に対するアラートを中央でセットアップする場所を得ることができます。