NRIネットコム Blog

NRIネットコム社員が様々な視点で、日々の気づきやナレッジを発信するメディアです

注目のタグ
    トップ > クラウド > Firewall Managerを使ってNetwork Firewallを効率的に管理しよう!

    Firewall Managerを使ってNetwork Firewallを効率的に管理しよう!

    クラウド AWS テクノロジー ネットワークウィーク

    本記事は  ネットワークウィーク  1日目の記事です。
    💻  告知記事  ▶▶ 本記事 ▶▶  2日目  🌐

    はじめに

    こんにちは。大林です。
    AWSでネットワーク系リソースを構築・運用していると、セキュリティ強化のためにファイアウォールの利用は欠かせません。
    たとえば、Amazon VPC(VPC)の出入口を保護するために AWS Network Firewall(Network Firewall)を利用しているケースも多いと思います。

    組織全体としてNetwork Firewallにおける設定のベースラインを整えることを前提としている場合、複数のアカウントでNetwork Firewallを個別に管理していると、設定のばらつきや運用負荷が大きくなります。
    そこで今回は、AWS Firewall Manager(Firewall Manager)を使って、組織全体のファイアウォール設定を効率的に一元管理する方法を紹介します。


    Firewall Managerとは

    Firewall Manager は、AWS Organizations(Organizations)配下のアカウントに存在するファイアウォールルールを一元的に管理できるサービスです。

    日々の運用では、アカウントやリソースの増加に伴い、セキュリティポリシーの維持やベースラインの徹底が難しくなることがあります。
    また、作成され続けるネットワークリソースを継続的に保護する作業が運用上のボトルネックになることもあります。

    こうした課題を解消し、組織全体で統制の取れたファイアウォール運用を実現できるのがFirewall Managerです。
    導入することで、次のようなメリットが得られます。

    メリット 概要説明
    ファイアウォールポリシー の⼀元管理 Organizationsを活用することで、Organizations配下のアカウントで作成されているNetwork Firewallのルールを一元的に管理できる。
    ベースラインポリシーの設定 Firewall Managerの管理アカウントからベースラインを作成して適用できる。管理者側でベースラインを一元管理し、各アカウントの利用者側はベースラインを遵守した上で追加の設定をできる。
    コンプライアンス違反の特定 Firewall Managerで作成したベースラインから逸脱しているリソースがあった場合は検知できるため、意図しない設定を防ぐことができる。


    Firewall Managerの利用条件

    Firewall Managerを利用するには、以下の4つの設定を事前に行う必要があります。

    設定項目 補足説明
    Organizationsとの連携 大量のアカウントをFirewall Managerの管理下に置くために必要になる。
    Firewall Managerの管理アカウント設定 Firewall Managerで作成するポリシーを作成・適用・管理するために必要になる。
    Configの有効化 Firewall Managerで設定したベースラインから逸脱したことを検知するために必要なる。
    Resource Access Manager(RAM)の有効化 WAFやセキュリティグループでは不要だが、Network FirewallとRoute 53 Resolver DNS Firewallの共有管理にはRAMが必要となる。


    Firewall Managerの使い方

    Organizationsとの連携

    この図は、Organizations組織下でのFirewall ManagerによるNetwork Firewallを管理している構成を表現しています。
    この例では、監査アカウントをFirewall Managerの管理アカウントとして設定しています。
    監査アカウントを管理アカウントにすることで、セキュリティ担当者や監査チームが全体のポリシー状況を一元的に把握しやすくなります。


    ポリシーの適用

    Firewall Managerでは、Firewall Managerポリシーを作成してOU単位、アカウント単位、リージョン単位でファイアウォールを適用・管理できます。
    もちろん、同一サービスに対して複数のポリシーを作成して適用することも可能です。


    タグを使った適用・管理

    タグを用いてNetwork Firewallを管理することもできます。
    このタグを用いた管理は柔軟な管理を実現できることが特徴です。
    例えば、直近は「NF-Block-A」というポリシーを設定しておきたいが、将来的には「NF-Block-B」や「NF-Block-C」を設定していきたい場合に非常に有効な設定です。
    タグを活用することで、柔軟性を確保しつつ、統制をかけられる点もFirewall Managerの推しポイントです。


    Security Hubとの連携

    Firewall Managerを含めたセキュリティ検知を一元的に管理したいといったケースも出てくるかと思います。
    そういった場合には、AWS Security Hub(Security Hub)とFirewall Managerの連携がお勧めです。
    Security HubとFirewall Managerを連携すると、非準拠リソースの分析がしやすくなります。
    例えば、どのアカウント、どのOU、どのリージョンだと非準拠リソースが発生しやすいのか、改善状況を継続的に追跡できるようになります。
    また、Security Hubを使用することで、Firewall Managerとその他のセキュリティ系のサービスの検知を一括で確認できるので、Firewall Managerの非準拠検知とその他のセキュリティ系のサービスの非準拠検知の相関関係をサービス横断で分析できます。

    Security Hubの検知改善における具体的な手法は以下のブログで確認できます。

    tech.nri-net.com


    おわりに

    Firewall Managerを活用することで、組織内のファイアウォールを一元的に適用・管理し、セキュリティ統制を維持しながら運用を効率化できます。

    Firewall Managerの魅力は、統制を効かせながらもタグによる柔軟な適用ができる点にあります。
    この記事が、最適なAWSネットワーク環境を構築する一助になれば幸いです。

    執筆者 大林優斗

    2025 Japan AWS Top Engineers

    2024 Japan AWS Jr. Champions

    Twitter:https://twitter.com/rUzXddG0vA9853

    個人ブログ:https://tech.nri-net.com/archive/author/y-obayashi

    登壇資料:https://speakerdeck.com/yuobayashi