サードパーティ製のセキュリティアプライアンスを使用したインライントラフィック検査の実装

プージャ・バネルジー、アマゾンウェブサービス（）AWS

2023 年 7 月 (ドキュメント履歴)

このガイドでは、サードパーティ製のファイアウォールアプライアンス、およびに Gateway Load Balancer を使用してインライントラフィック検査アーキテクチャを実装する方法について説明します。AWS Transit GatewayAWS クラウドまた、このガイドでは、トラフィック検査要件を満たすように仮想プライベートクラウド (VPC) を設計および構築する方法と、ネットワークトラフィック検査シナリオに基づいてトラフィックフローを理解する方法についても説明します。

インライントラフィック検査は、トラフィックをスクリーニングして保護し、悪意のある攻撃者からワークロードを保護するのに役立ちます。ファイアウォールを使用すると、送信元から宛先に流れるネットワークトラフィックをリアルタイムで検査し、ファイアウォールポリシーに基づいてトラフィックを許可または拒否できます。このガイドは、企業全体のネットワークの管理を担当するネットワークおよびセキュリティエンジニアを対象としています。このガイドでは、次の交通検査のユースケースについて説明します。

現在、アクティブまたはスタンバイのセットアップ、インスペクションファイアウォールの両側にロードバランサーを備えたソースネットワークアドレス変換 (SNAT) を使用するサンドイッチモデル、VPN オーバーレイモデルなど、いくつかのトラフィックインスペクションの導入が可能です。これらのオプションには、スケーラビリティ、高可用性 (HA)、または複雑すぎるという点で欠点がありますが、Gateway Load Balancer を使用することでこれらの問題を解決できます。

ゲートウェイロードバランサーは、オープンシステム相互接続 (OSI) モデルのレイヤー 3 とレイヤー 4 で動作します。レイヤー 3 では、Gateway Load Balancer が送信元からサードパーティのアプライアンスにパケットを透過的にルーティングしてから、宛先に対称的に送信します。レイヤー4では、Gateway Load Balancerは、ヘルスチェックの実行に加えて、エンドポイントへの可用性とスケーラブルな負荷分散機能を提供します。ファイアウォールはステートフルアプライアンスであるため、送信元から宛先へのフローとトラフィックのリターンフローは同じファイアウォールアプライアンス上にとどまる必要があります。

このガイドでは、次の 3 つのユースケースに対応する交通検査ソリューションを紹介します。