はじめに
AWS・Azureのネットワークセキュリティサービスって覚えにくくないですか?
何のサービスが何を保護してくれるのか、今回改めてまとめてみました。
一般的に利用されるネットワークセキュリティ
前提として一般的なネットワークセキュリティの知識を少し書きます。
ファイアウォール
ファイアウォールはネットワークレベルでトラフィックを監視及び制御します。
通信の送信元情報と送信先情報(IPアドレス、ポート番号等)を基にして、アクセスを制御します。
不正アクセスやネットワーク攻撃からネットワークを保護することが主な目的です。
WAF
Web Application Firewallの略であるWAFはその名の通り、Web アプリケーションのセキュリティを強化します。
Webアプリケーションレベルでの攻撃(SQLインジェクション、クロスサイトスクリプティング等)を検出及び防御します。
Web アプリケーションの脆弱性を保護することが主な目的です。
IDS/IPS
IDS/IPSはネットワークやOS・ミドルウェアへの攻撃を検知・防御します。
IDS(不正侵入検知システム)はその名の通り脅威を検知します。
一方、IPS(不正侵入防止システム)は脅威を検知し、さらに防御を行います。
AWS・Azureにおけるネットワークセキュリティサービス
AWS・Azureでは以下の図のように各サービスがネットワークを保護しています。
-
WebアプリケーションについてはAWS WAF/Azure WAFを利用して保護することが可能です。
-
サーバやOS、ネットワークへの攻撃について、DDoS攻撃についてはShield/DDoS Protectionを利用して防御することが可能です。
-
ネットワーク層を利用した攻撃については、AWS Network Firewall/Azure Firewallを利用して保護できます。
なお、AWS Network Firewall/Azure Firewallでは、IDS/IPS機能も提供されています。 -
脅威検出サービスであるGuardDuty、Inspector/Microsoft Defender for Cloudは、IDSとも言えます。
おわりに
まとめてみたら頭がすっきりしました。