Opinion Brawte nfaq 0 Comments

AWS は、ネットワークファイアウォールサービスにステートフルインスペクション用のオープンソース Suricata を組み込んでいます

Table of Contents

AWS は、ネットワークファイアウォールサービスにステートフルインスペクション用のオープンソース Suricata を組み込んでいます

更新されたAWS は、オープンソースの Suricata プロジェクトを活用した新しいサービスである Network Firewall を発表しました。

Firewall Manager は、AWS ユーザー組織内のアカウントとアプリケーション全体にファイアウォールを構成するための集中型サービスであり、複数の AWS アカウントを管理する方法です。

新しい AWS ネットワークファイアウォールは、侵入検知用のオープンソースの Suricata プロジェクトを使用して、よりインテリジェントなルールを追加することで、既存のサービスを超えています。

VPC を保護する AWS ネットワークファイアウォールを示す図

VPC を保護する AWS ネットワークファイアウォールを示す図

AWSのドキュメントには、「Network Firewallは、ステートフルインスペクションのためにオープンソースの侵入防止システム(IPS)であるSuricataを使用しています」と記載されていますが、これはSuricataのみをインストールしたものではなく、Suricataのすべての機能が実装されているわけではありません。例えば、IPレピュテーション、Luaスクリプト、Suricataデータセットなどはサポートされていません。しかしながら、一般的にSuricataルールを使用しているため、ルール言語の性能と既存の多くの例を考慮すると、これは大きな利点となります。

AWSユーザーは、VPC内の各アベイラビリティゾーンにネットワークファイアウォールエンドポイントを設定できます。高度なログ記録と分析機能が利用可能で、管理者が現在のアクティビティを監視したり、過去の侵入試行を詳細に調査したりする必要がある場合に威力を発揮します。この新しいサービスは、AWS Firewall ManagerおよびCloudWatchモニタリングサービスと統合されており、管理者はログデータをKinesis Data Firehoseサービスにストリーミングしてカスタム検索と分析を行うこともできます。

コストは、ファイアウォール エンドポイントごとに 1 時間あたり 0.395 ドル、トラフィック処理ごとに 1 GB あたり 0.065 ドルであり、決して小さい金額ではありません。

高度化には複雑さが伴い、多くのサードパーティセキュリティベンダーが参入に意欲的に取り組んでおり、Network Firewallを自社のツールやサービスと統合することで、ポリシー管理、セキュリティ標準への準拠、追加の監視・アラートツールを実現しています。例えば、Splunkは自社のエンタープライズセキュリティSIEM(セキュリティ情報イベント管理)とも統合する予定です。また、IBMのクラウドセキュリティアーキテクトであるChristopher Di Dato氏は、APIによってポリシー・アズ・コード(PAC)によるプログラムセキュリティを実現できる点を「クラウドネイティブセキュリティにおけるゲームチェンジャー」と評しています。

現代のセキュリティはポート、プロトコル、IP アドレスを制御するだけではありません。新しいネットワーク ファイアウォールはそれを体現しています。

SuricataはOpen Information Security Foundationのプロジェクトですが、AWSがメンバーとして記載されていないことに気づきました。AWSにこのプロジェクトを支援する予定があるかどうか問い合わせました。

AWS のライバルである Microsoft Azure も、Azure Firewall Premium のプレビューでファイアウォールを強化しており、TLS インスペクション (検査のために送信トラフィックを復号化し、その後再暗号化する)、シグネチャベースの侵入検知、ソーシャル ネットワーキング、ショッピング、ギャンブルなどのカテゴリに基づいたトラフィック ブロックなどの機能が追加されています。

Microsoftはまた、すべての新しいファイアウォール機能はファイアウォールポリシーによってのみ設定可能になると述べています。Microsoft Firewall Premiumの価格は公表されていませんが、Azure Firewallの標準サービスは1時間あたり1.25ドル、1GBあたり0.016ドルです。導入コストは高くなりますが、処理コストは新しいAWSサービスよりもはるかに低くなります。なお、上記の情報へのリンクはこの記事の執筆中に消えてしまったため、誰かが早とちりした可能性があります。

11月20日15時26分GMTに更新され、以下が追加されました:

AWS はプロジェクトのスポンサーシップに関する私たちの質問には答えず、「私たちはプロジェクトに協力し、アップストリームに取り組んでいます。こちらが私たちが行った PR の例です」と述べました。

これは、このオープンソース プロジェクトに基づくサービスを使用するために顧客に料金を請求する巨大なグローバル企業が、それをサポートする財団へのスポンサーシップも検討すべきではないかという点を見落としているように思われます。®

Opinion

Smart Recommendations

Discover More