はじめに
こんにちは。何です。最近、AWSのNAT GatewayとAWS Network Firewallを組み合わせてシステムを構築した経験があります。その際に得られた知見をまとめてみたいと思います。まず、NAT GatewayとNetwork Firewallの配置に関する情報について共有したいと思います。
そもそも AWS Network Firewall とは
AWS Network Firewallは、ネットワークトラフィックをきめ細かく制御するファイアウォールルールを作成し、VPC 全体にファイアウォールのセキュリティを容易にデプロイできます。ただし、Network Firewallは高額なサービスであるという点には注意が必要です。
AWS Network Firewall AWS公式サイト
https://aws.amazon.com/jp/network-firewall/
料金概要
リージョンとアベイラビリティゾーンごとに、各ファイアウォールエンドポイントのリージョンおよびアベイラビリティーゾーンごとに時間単位の料金を支払います。また、ファイアウォールエンドポイントで処理されたトラフィック量に対して、リージョンおよびアベイラビリティゾーンごとにギガバイト単位で課金されます。データ処理料金は、トラフィックの送信元や送信先にかかわらず、ファイアウォールエンドポイントを通じて処理されたデータ量 (ギガバイト単位) について適用されます。
AWS Network Firewall の料金 AWS公式サイト
https://aws.amazon.com/jp/network-firewall/pricing/
ファイアウォールによって処理されたトラフィック量に対してのみ課金されると考えがちですが、実際にはファイアウォールエンドポイントがプロビジョニングされている時間にも課金されるため、注意が必要です。さらに、Network Firewallのエンドポイントはリージョンおよびアベイラビリティゾーンごとに課金されます。
AWS Network Firewallを特定のサブネットに紐づけると、そのサブネット内にファイアウォールエンドポイントが作成されます。
これから本題に入りたいと思います。
AWS Network FirewallとNAT Gatewayの構成順番について
プライベートサブネットに配置するサーバー(例:EC2)からインターネットへのアウトバウンド通信を行う場合、NAT Gatewayを利用するのが一般的ですが、AWS Network Firewallを組み合わせて利用することもあります。今回は、NAT GatewayとAWS Network Firewallの組み合わせについて紹介します。
その際、NAT GatewayとAWS Network Firewallの配置順序について考えたことはありますでしょうか?
一般的に、プライベートサブネットからインターネットへの通信には、大きく分けて2つの経路があります。
1. プライベートサブネット → NAT Gateway → Network Firewall → インターネット
2. プライベートサブネット → Network Firewall → NAT Gateway → インターネット
経路1についての特徴
①. プライベートサブネットから外部に通信する際、まずNAT Gatewayに送られ、その後Network Firewallを通ります。
②. NAT Gatewayが先に処理するため、送信元IPはNAT GatewayのIPに変換されてからNetwork Firewallに届きます。
③. Network Firewallの送信元IPアドレスがNAT GatewayのIPアドレスとなるため、具体的にどのリソースが通信を行っているかを特定することが難しいです。
そのため、送信元のプライベートIPアドレスに基づいた制御が難しい場合があります。
経路2についての特徴
①. プライベートサブネットから外部に通信する際、まずNetwork Firewallに渡り、検査された後にNAT Gatewayで変換され、インターネットに出ます。
②. Network Firewallは元のプライベートIPを保持したまま通信を検査できるため、ログやルール制御を送信元のプライベートIP単位で行えます。
③. 送信元のIPアドレスが通信を行うリソースのIPアドレスであるため、通信内容の確認が容易になります。
そのため、送信元のプライベートIPアドレスに基づいた制御が容易になります。
まとめ
AWSにおけるNetwork FirewallとNAT Gatewayの構成を選択する際は、実際の案件の要望や要件を考慮することが重要です。特定のプライベートIPアドレス単位での制御が必要な場合や、トラフィックのログ確認が重要な場合には、経路2の方が適していると考えています。この構成により、トラフィックのフィルタリングや監視が可能になります。
一方で、トラフィックのフィルタリングが不要な場合や、ログの必要性が低い場合には、経路1を選択することがあります。
これらの情報が、AWS Network FirewallとNAT Gatewayの構成を検討する際の参考になれば幸いです。
注意事項
本ブログに掲載している内容は、私個人の見解であり、
所属する組織の立場や戦略、意見を代表するものではありません。
あくまでエンジニアとしての経験や考えを発信していますので、ご了承ください。