実践！AWSネットワーク構築・運用30日チャレンジ: Day 19

Day 19: AWS Firewall Manager：一元的なセキュリティポリシー管理

皆さん、こんにちは！「実践！AWSネットワーク構築・運用30日チャレンジ」のDay 19へようこそ！

昨日はAWS WAFとShieldを使って、Webアプリケーションを特定の攻撃やDDoSから保護する方法を学びました。これらのサービスは強力ですが、大規模なAWS環境、特に複数のAWSアカウントやVPCにまたがるシステムを運用している場合、それぞれのサービスを手動で設定・管理していくのは非常に手間がかかり、設定漏れや一貫性の欠如といったリスクを伴います。

今日のテーマは、このような課題を解決し、AWSアカウント全体にわたってセキュリティポリシーを一元的に設定・管理できるサービス、「AWS Firewall Manager」です。Firewall Managerは、大規模な環境でのセキュリティ運用を劇的に簡素化し、ガバナンスを強化するための強力なツールです。

1. なぜ一元的なセキュリティポリシー管理が必要なのか？

多くのエンタープライズ企業では、複数のAWSアカウントを運用しています。例えば、開発、ステージング、本番環境で別々のアカウントを使用したり、部署やプロジェクトごとにアカウントを分けたりすることが一般的です。また、各アカウント内には複数のVPCが存在することもあります。

このような環境では、以下のような課題が発生しがちです。

• 設定の一貫性の欠如: 各アカウントやVPCで個別にセキュリティサービスを設定するため、ポリシーにばらつきが生じやすい。
• 運用負荷の増大: 新しいアカウントやリソースが追加されるたびに、手動でセキュリティ設定を行う必要があり、手間と時間がかかる。
• コンプライアンスリスク: 全てのリソースが組織のセキュリティポリシーに準拠しているかを確認するのが難しい。
• 可視性の低下: どこにどのようなセキュリティポリシーが適用されているか、全体像を把握しにくい。

AWS Firewall Managerは、これらの課題に対応するために設計されました。

2. AWS Firewall Managerとは？

AWS Firewall Manager (FMS) は、AWS Organizationsと統合され、複数のAWSアカウントやVPC、AWSリソースにわたって、セキュリティグループ、AWS WAF、AWS Shield Advanced、Amazon VPC Security Groups、Route 53 Resolver DNS Firewallなどのセキュリティポリシーを一元的に設定し、自動的に適用・監査するサービスです。

Firewall Managerの仕組みと特徴

• AWS Organizationsとの統合: Firewall ManagerはAWS Organizationsの管理アカウントから利用します。これにより、組織内の全てまたは特定のメンバーアカウントに対してポリシーを適用できます。
• ポリシーベースの管理: 「Web ACL (WAF) ポリシー」、「Shield Advanced DDoS 保護ポリシー」、「セキュリティグループポリシー」、「Route 53 Resolver DNS Firewall ポリシー」、「Network Firewall ポリシー」など、特定のセキュリティサービスに対するポリシーを作成します。
• 自動適用と監査: 作成したポリシーは、指定したスコープ（アカウント、VPC、タグ付けされたリソースなど）内の新しいリソースや既存のリソースに対して自動的に適用されます。また、ポリシーに準拠していないリソースを検出し、レポートします。
• リソーススコープ: ポリシーを適用するリソースの範囲を柔軟に指定できます。
  • 特定のAWSアカウントID
  • 特定の組織単位 (OU)
  • 特定のリソースタグ（例: Env:Production の付いたALBのみ）
  • 特定のVPC ID
  • 特定のリージョン
• コンプライアンス管理: ポリシーの準拠状況を可視化し、非準拠のリソースを特定できます。自動是正アクションを設定することも可能です。
• セキュリティの一貫性: 組織全体のセキュリティ体制を一貫させ、ベストプラクティスを強制することができます。

Firewall Managerが管理できるポリシータイプ

1. AWS WAF ポリシー:
   • 組織内の指定されたALB、CloudFrontディストリビューション、API Gateway、AppSyncに特定のWAF Web ACLを自動的にデプロイします。
   • 新しいリソースが追加された際に、自動的にWAFをアタッチしてルールを適用できます。
2. AWS Shield Advanced DDoS 保護ポリシー:
   • 組織内の指定されたリソース（ALB、CloudFrontなど）に対して、Shield AdvancedのDDoS保護を自動的に有効にします。
3. セキュリティグループポリシー:
   • 特定のセキュリティグループのルールを監査し、定義されたルール（例: 必須のインバウンドポート、禁止されたアウトバウンドポートなど）に準拠しているかを確認します。
   • 非準拠のセキュリティグループを自動的に是正することも可能です。
   • 共通セキュリティグループ (Common Security Group) の展開: 全てのVPCに共通のセキュリティグループ（例: 監視用IPからのSSHアクセス許可など）を自動的にデプロイし、一貫したアクセス制御を実現できます。
4. Route 53 Resolver DNS Firewall ポリシー:
   • Route 53 Resolver DNS Firewallルールグループを組織内のVPCに関連付け、特定のドメインへのDNSクエリをブロックまたは許可するポリシーを一元管理します。
5. AWS Network Firewall ポリシー:
   • AWS Network Firewallのルールグループを組織内のVPCに自動的にデプロイし、包括的なネットワークトラフィック検査を一元管理します。

3. Firewall Managerの導入ステップと考慮事項

Firewall Managerを導入するには、いくつかの前提条件があります。

1. AWS Organizationsの有効化: Firewall ManagerはAWS Organizationsに完全に統合されています。Organizationsを有効化し、管理アカウント（マスターアカウント）からFirewall Managerを設定します。
2. Firewall Managerの管理者アカウントの設定: Organizationsの管理アカウントで、Firewall Managerの委任管理者アカウントを設定します。このアカウントからFMSのポリシーを作成・管理します。
3. リソース共有の有効化: AWS Resource Access Manager (RAM) でリソース共有を有効にする必要があります。

考慮事項

• コスト: Firewall Manager自体に料金はかかりませんが、管理するセキュリティサービス（WAF、Shield Advancedなど）の料金は通常通り発生します。
• 影響範囲: ポリシーは広範なリソースに適用されるため、設定ミスは大きな影響を与える可能性があります。導入前には十分なテストと、変更管理プロセスを確立することが重要です。
• 既存リソースとの調整: 既に個別に設定されているセキュリティサービスがある場合、FMSポリシーとの競合や上書きに注意が必要です。

4. Firewall Managerの具体的な設定（概念的な理解）

Firewall Managerのハンズオンは、AWS Organizationsの設定や複数アカウントの準備が必要となるため、このチャレンジシリーズの範囲では実践しません。しかし、概念的な設定の流れを理解することは重要です。

設定の流れ（概念）

1. AWS Organizationsの準備:
   • 管理アカウントでAWS Organizationsを有効化します。
   • 必要なメンバーアカウントをOrganizationsに招待または作成します。
2. Firewall Managerの委任管理者アカウントを設定:
   • Organizations管理アカウントで、Firewall Managerの管理を委任するメンバーアカウント（例: セキュリティアカウント）を選択します。
   • 以降は、その委任された管理者アカウントでFMSを操作します。
3. Firewall Managerポリシーの作成:
   • Firewall Managerコンソールで、「セキュリティポリシー」を選択し、「ポリシーの作成」をクリックします。
   • ポリシータイプを選択:
     • 例: 「AWS WAF ポリシー」
   • ポリシーの詳細を設定:
     • ポリシー名、説明を設定。
     • Web ACLの名前を指定（既存のWeb ACLを選択、またはFMSが新規作成）。
     • 含めるマネージドルールグループやカスタムルールグループを指定。
     • 新しいリソースを自動修正する: 有効にすると、ポリシーに準拠しない新しいリソースを自動的に是正します。
   • ターゲットリソースとアカウントを設定:
     • ターゲット AWS アカウント: 特定のアカウントID、組織単位 (OU) を選択します。
     • ターゲットリソース: 特定のリソースタイプ（ALB、CloudFrontなど）を選択し、必要であればリソースタグでフィルタリングします。
     • スコープ内のリソース: 特定のVPCを含める/除外する。
   • 非準拠の検出と通知:
     • ポリシーに準拠していないリソースが検出された場合の通知設定（SNSなど）。
4. ポリシーのデプロイ:
   • ポリシーを作成すると、Firewall Managerは指定されたスコープ内の既存のリソースにポリシーを適用し、継続的に監視を開始します。
   • 新しく作成されたリソースも自動的にポリシーの適用対象となります。

5. AI時代におけるFirewall Managerの活用シナリオ

AI/MLワークロードでは、大量のデータ、複雑なAPI、分散リソースが関係するため、一元的なセキュリティ管理は極めて重要です。

• 推論APIのWAF統一適用:
  • 組織内の全てのAI推論API（ALB経由で公開されるもの）に対して、共通のAWS WAFルールセット（例: ボット対策、一般的なWeb攻撃対策）をFirewall Managerで自動適用します。新しい推論サービスがデプロイされた際も、自動的にWAFが適用されるため、セキュリティの抜け漏れを防げます。
• 学習環境のネットワーク分離の徹底:
  • 学習用VPC内のEC2インスタンス（特にGPUインスタンス）に対して、特定のセキュリティグループポリシーをFirewall Managerで強制します。例えば、外部への不必要な通信を制限したり、特定の管理用IPアドレスからのSSH/RDPのみを許可したりするルールを、全ての学習VPCで一貫して適用できます。
• データレイクへのアクセス制御:
  • データレイクVPCにあるS3へのVPCエンドポイントや、その他のデータアクセスインターフェースに対して、WAFやセキュリティグループのポリシーを適用し、データへのアクセス経路を厳格に管理します。
• ハイブリッドクラウドのセキュリティ整合性:
  • Transit Gatewayと連携するDirect Connect/VPN接続に対して、特定のネットワークACLやセキュリティグループのポリシーを適用し、オンプレミスとクラウド間の通信のセキュリティを統一的に管理します。
• DDoS保護の組織全体適用:
  • 組織内の全ての公開AIサービスに対して、AWS Shield Advancedの保護をFirewall Manager経由で有効化し、大規模なDDoS攻撃からのビジネス影響を最小限に抑えます。

本日のまとめと次へのステップ

今日は、大規模なAWS環境におけるセキュリティポリシーの一元管理を可能にする「AWS Firewall Manager」について学びました。

• Firewall ManagerはAWS Organizationsと統合され、複数アカウントやVPCにわたるWAF、Shield Advanced、セキュリティグループ、DNS Firewall、Network Firewallのポリシーを一元的に管理・適用できる。
• 設定の一貫性、運用負荷軽減、コンプライアンス遵守、可視性向上に貢献する。
• 概念的な設定の流れを理解し、その強力な機能が大規模環境でセキュリティガバナンスをどのように強化するかを把握した。

Firewall Managerは、AWSを本格的にエンタープライズ利用する上で、セキュリティチームやクラウド基盤チームにとって非常に価値のあるサービスです。これにより、組織全体のセキュリティ姿勢を維持しやすくなります。

明日のDay 20では、「AWS PrivateLink：セキュアなサービス接続👍」と題して、VPCからインターネットを経由せずに、AWSサービス（S3、DynamoDB、SageMakerなど）や独自のサービスにプライベートに接続するための「AWS PrivateLink」について学びます。データセキュリティとネットワーク効率を向上させる重要なサービスです。

---

今日のFirewall Managerの概念的な学習、大規模なセキュリティ管理のイメージを掴めましたか？もし「いいね」で教えていただけると嬉しいです！