アウトバウンド通信の制御
アウトバウンド通信 (VPC からの外向きトラフィック) の制御は、クラウド環境内のインスタンスやサーバーからの外部への通信を管理する重要なセキュリティ機能です。この制御により、正当な通信(ソフトウェア更新など)は許可しつつ、不審なサイトへのアクセスや未承認のリモート接続などの潜在的に危険な通信を防ぎます。これにより、マルウェア感染やデータ漏洩のリスクを軽減し、組織のセキュリティを強化します。
AWSでアウトバウンド通信を制御する方法はいくつかあります。
Amazon Route 53 Resolver DNS Firewall
Amazon Route 53 Resolver DNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび制御できます。明示的に信頼するドメイン以外へのアクセスをすべて拒否することをお勧めします。これは実装が容易で、マルチアカウント環境でも AWS Firewall Manager を通じて簡単にデプロイできます。
DNS タイプのファイアウォールは悪性サイトの IP アドレスへの直接接続を防ぐことはできませんが、多くのマルウェアの送信接続はドメイン名 (URL) に対するものであり、初期の名前解決を制御することで悪性サイトへの接続を防止して、マルウェアの取得自体を失敗させることで感染を防ぐことができます。
AWS Network Firewall
AWS Network Firewall は、レイヤー3からレイヤー7までの受信および送信トラフィックを分析できます。 詳細は AWS ブログの「AWS ネットワークファイアウォール – VPC 用の新しいマネージド型ファイアウォールサービス 」をご覧ください。
また、AWS Marketplace で利用可能な次世代ファイアウォール/ UTM ソリューションを使用して、送信トラフィックをフィルタリングすることもできます。
AWS PrivateLink
AWS PrivateLink を使用して、可能な場合はビジネスパートナーの VPC とプライベート通信を確立し、そのトラフィックがインターネットを経由しないようにします。
アウトバウンド通信制御のためのプロキシの導入
AWS Blog 「How to set up an outbound VPC proxy with domain whitelisting and content filtering 」では、アウトバウンド通信のフィルタリング用にプロキシ (Squid) の導入方法を説明し、そのデプロイを容易にする CloudFormation テンプレートを提供しています。
内部トラフィックの検査
VPC から VPC へのインスペクション、またはオンプレミスから VPC へのインスペクション用に AWS Network Firewall をデプロイする方法の詳細については、「AWS Network Firewallのデプロイモデル 」を参照してください。
イングレスフィルタリング
ネットワークファイアウォールによるイングレスフィルタリングは、ウェブ以外のサービスを共有する場合に適しています。AWS Network Firewall またはサードパーティのファイアウォールは、これらのサービスの脆弱性の悪用を防ぐ IPS 機能を提供しますが、ウェブアプリケーションのみを共有している場合は、WAF がレイヤー 7 検査を提供するため、アーキテクチャにネットワークファイアウォールを含めるユースケースを減らすことができます。
SIEM の統合
SIEM がある場合は、シャドーイング IT の検出やその他のアラートの構成のために、サービス (または仮想アプライアンス) のフィルタリングトラフィック (次世代ファイアウォールやプロキシなど) のログを送信することを検討してください。
料金
- AWS Route53 Resolver DNS Firewall: Amazon Route 53 料金表 の Resolver DNS Firewall を参照してください
- AWS Network Firewall: AWS Network Firewall の料金
- AWS PrivateLink: AWS PrivateLink の料金