Firewall Manager がポリシーの VPC ルートテーブルを管理およびモニタリングする方法 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

Firewall Manager がポリシーの VPC ルートテーブルを管理およびモニタリングする方法

このセクションでは、Firewall Manager がポリシーの VPC ルートテーブルを管理およびモニタリングする方法について説明します。

注記

ルートテーブル管理は、集約型デプロイモデルを使用するポリシーでは現在サポートされていません。

Firewall Manager がファイアウォールエンドポイントを作成すると、それらの VPC ルートテーブルも作成されます。ただし、Firewall Manager は VPC ルートテーブルを管理しません。ネットワークトラフィックを Firewall Manager によって作成されたファイアウォールエンドポイントに送信するように VPC ルートテーブルを設定する必要があります。Amazon VPC イングレスルーティングの拡張機能を使用して、新しいファイアウォールエンドポイントを通じてトラフィックをルーティングするようにルーティングテーブルを変更します。変更によって、保護するサブネットと外部の場所の間にファイアウォールエンドポイントを挿入する必要があります。実行が必要となる正確なルーティングは、アーキテクチャとそのコンポーネントによって異なります。

現在、Firewall Manager では、ファイアウォールをバイパスするインターネットゲートウェイ宛てのトラフィックについて、VPC ルートテーブルのルートをモニタリングできます。Firewall Manager は、NAT ゲートウェイなどの他のターゲットゲートウェイをサポートしていません。

VPC のルートテーブルの管理については、「Amazon Virtual Private Cloud ユーザーガイド」の「Managing route tables for your VPC」(VPC のルートテーブルの管理) を参照してください。Network Firewall のためのルートテーブル管理に関する情報については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewall のためのルートテーブル設定」を参照してください。

ポリシーのモニタリングを有効にすると、Firewall Manager は VPC ルート設定を継続的にモニタリングし、その VPC のファイアウォール検査をバイパスするトラフィックについて警告します。サブネットにファイアウォールエンドポイントルートがある場合、Firewall Manager は次のルートを検索します。

  • Network Firewall エンドポイントにトラフィックを送信するルート。

  • Network Firewall エンドポイントからインターネットゲートウェイにトラフィックを転送するルート。

  • インターネットゲートウェイから Network Firewall エンドポイントへのインバウンドルート。

  • ファイアウォールサブネットからのルート。

サブネットに Network Firewall ルートがあるが、Network Firewall とインターネットゲートウェイのルートテーブルに非対称ルーティングがある場合、Firewall Manager はサブネットを非準拠としてレポートします。また、Firewall Manager は、Firewall Manager が作成したファイアウォールルートテーブルおよびサブネットのルートテーブルでインターネットゲートウェイへのルートを検出し、それらを非準拠として報告します。Network Firewall サブネットルートテーブルおよびインターネットゲートウェイルートテーブル内の追加ルートも、非準拠として報告されます。Firewall Manager は、違反タイプに応じて、ルート設定を準拠状態にするための修復アクションを提案します。Firewall Manager は、すべてのケースで提案を提供するわけではありません。例えば、お客様のサブネットに、Firewall Manager の外部で作成されたファイアウォールエンドポイントがある場合、Firewall Manager は修復アクションを提案しません。

デフォルトでは、Firewall Manager は、アベイラビリティーゾーンの境界を越えるトラフィックを検査のために非準拠としてマークします。ただし、VPC 内に単一のエンドポイントを自動的に作成するように選択した場合、Firewall Manager は、アベイラビリティーゾーンの境界を越えるトラフィックを非準拠としてマークしません。

カスタムエンドポイント設定で分散デプロイモデルを使用するポリシーの場合、あるアベイラビリティーゾーンからのものであって、アベイラビリティーゾーンの境界を越え、ファイアウォールエンドポイントがないトラフィックを、準拠または非準拠のいずれとしてマークするかを選択できます。

注記

  • Firewall Manager は、IPv6 ルートやプレフィックスリストルートなど、IPv4 以外のルートに対する修復アクションを提案しません。

  • DisassociateRouteTable API コールを使用して行われた呼び出しは、検出に最大で 12 時間かかる場合があります。

  • Firewall Manager は、ファイアウォールエンドポイントを含むサブネットの Network Firewall ルートテーブルを作成します。Firewall Manager は、このルートテーブルに有効なインターネットゲートウェイと VPC のデフォルトルートだけが含まれていると仮定します。このルートテーブル内の追加ルートまたは無効なルートは、非準拠とみなされます。

Firewall Manager ポリシーを設定するときに、[Monitor] (モニタリング) モードを選択すると、Firewall Manager はリソースの違反とリソースに関する修復の詳細を提供します。これらの推奨される修復アクションを使用して、ルートテーブル内のルートの問題を修正できます。[Off] (オフ) モードを選択した場合、Firewall Manager はルートテーブルのコンテンツをモニタリングしません。このオプションでは、VPC ルートテーブルを自ら管理できます。これらのリソース違反の詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

警告

ポリシーの作成時に [AWS Network Firewall route configuration] (ルート設定) で [Monitor] (モニタリング) を選択した場合、そのポリシーについてはオフにすることはできません。ただし、[Off] (オフ) を選択すると、後で有効にすることができます。