みなさん、こんにちは!
最近は Palo Alto Networks 製品に触れる機会が増えてきたため、学習の一環として AWS環境上にPalo Altoを構築 してみました。
本シリーズでは、AWS上にPalo Altoを導入し、各セグメントにサーバを配置して 通信試験 を行ったうえで、セキュリティ機能である
IPS、アンチウイルス、アンチスパイウェア、URLフィルタリング の動作確認までを手順としてまとめています。
記事は 全6回構成 となっており、環境構築からセキュリティ検証までの流れを一通り解説しています。最後までご覧いただくことで、
AWS上でのPalo Alto環境の構築方法とセキュリティ機能の検証ポイントを体系的に理解できる内容になっています。
構成
今回は、下記の要件で構成しました。
- Palo Alto及びサーバは、AWS上に用意
- 冗長構成無し
- 用意するセグメント
・Trust(社内想定)
・Untrust(社外想定)
・DMZ(Webサーバ)
・管理(PaloAlto及び各サーバの管理用) - 各セグメントには、1台以上のサーバを用意。
VPC
まず、10.0.0.0/16のVPCを作成します。
サブネット
各セグメント用のサブネットを作成します。
- 管理用サブネット:10.0.10.0/24
- Trust用サブネット:10.0.11.0/24
- Untrust用サブネット:10.0.12.0/24
- DMZ用サブネット:10.0.13.0/24
ルートテーブル
インターネットゲートウェイを作成し、ルートテーブルに経路を追加します。
通常であれば、VPC内の自動ルーティングによってサーバ間は直接通信できます。
ですが、今回はサーバ間の通信をPalo Alto経由でフィルタリングしたいため、AWS側のルートテーブルで経路を制御するのではなく、サーバ内のルートテーブルを使って、デフォルトゲートウェイをPalo Altoに向ける構成にしています。
作成したサブネットをすべて関連付けます。
セキュリティグループ
以下のセキュリティグループを作成します。
- Palo Alto管理ポート用
- Palo Altoサービスポート用
- 管理サーバ用
- Trust、Untrust、DMZサーバの管理ポート用
- Trust、Untrust、DMZサーバのサービスポート用
Palo Alto管理ポート用
Palo AltoのGUI、CLI操作をするため、SSH,HTTPS通信のみを許可します。
Inbound
Outbound
Palo Altoサービスポート用
Palo Altoのフィルタリングに制限を寄せるため、Inbound及びOutboundは全許可とします。
Inbound
Outbound
管理サーバ用
管理サーバにアクセスするために、自端末のグローバルIPのみを許可します。
Inbound
Outbound
Trust、Untrust、DMZサーバの管理ポート用
各サーバを管理するために、Inboundで管理サーバの通信のみを許可します。
Inbound
Outbound
Trust、Untrust、DMZのサービスポート用
Palo Altoサービスポート用と同様に、Palo Altoのフィルタリングに制限を寄せるため、Inbound及びOutboundは全許可とします。
Inbound
Outbound
ここまでが、AWSのVPCまわりの設定となります。
次回の手順では、AWSのインスタンス作成と周辺環境の設定に入っていきます。