ビジネス&テクノロジー

拡張性に優れたFortiGate次世代ファイアウォールセキュリティをAWS Gateway Load Balancerサービスで活用

投稿者 Vinod Sundarraj | 2021年4月20日

AWS Gateway Load Balancerサービスは、東京リージョンへの対応が2021年2月末に開始された事に合わせ本ブログを掲載しております。
(参考情報)
FortiGate VMとAWS Gateway Load Balancerを連携するための設定ガイドを同時にリリースしておりますので是非ご活用下さい。ガイドはこちら

Amazon Virtual Private Cloud(Amazon VPC)環境の保護に強力かつ包括的なセキュリティソリューションを導入する企業が増加する中で、サイバー犯罪者や脅威から常時保護するために、高可用性アーキテクチャを採用しています。ところが、このような方法の導入は運用の複雑さが増大し、結果としてセキュリティの専門知識を持たない組織内のチームが、セキュリティアプライアンスをバイパスしてしまうことも少なくありません。 

AWS Gateway Load Balancer (GWLB) は、ファイアウォールや侵入防止システム(IDPS)、ディープパケットインスペクションシステムなどの仮想アプライアンスのクラウドでの容易な導入、拡張、管理を可能にする、AWSの新しいサービスです。FortiGate-VM次世代ファイアウォールの保護機能をGWLBのサービスとして活用することで、VPCセキュリティの導入が簡素化され、耐障害性が向上します。 

フォーティネットのFortiGate-VMとGWLBの統合により、高可用性、拡張性、ロードバランシングの機能を備えた次世代ファイアウォールのクラウドへの導入が可能になり、侵入防止システム(IDPS)、ディープパケットインスペクション(DPI)、URLフィルタリング、アンチスパム、アンチマルウェア保護などFortiGateの豊富なセキュリティ機能も利用できるようになります。FortiGate VM次世代ファイアウォールとGWLBの連携により、2つの主要なユースケース、すなわち、North-South(垂直方向)とEast-West(水平方向)のインスペクションに対応します。

ユースケース1:North-Southのインスペクション

一般的なAWSの導入環境では、VPCのアプリケーションインスタンスのほとんどがプライベートサブネットに存在し、ローカルネットワークの外のリソースからのアクセスがブロックされてしまいます。ところが、アプリケーションインスタンスによっては、インターネット経由でユーザーにアクセスする必要があるものもあり、ソフトウェアの自動更新など他のサービスにアプリケーションやサーバーがアクセスしなければならないこともあります。このような場合、インターネットとの間のトラフィックをインスペクションすることで、攻撃を防止し、侵害のリスクを軽減する必要があります。これらの問題を解決するため、FortiGate VMとGWLBサービスを併せて導入し、アプリケーションインスタンスを保護する方法を選択できます。

1つ目のオプションは、AWS Gateway Load Balancer Endpoints(GWLBE)をお客様のVPCから使用する方法です。GWLBEにより、インターネットを宛先とするトラフィックの保護が可能になり、仮想ファイアウォールやポリシーの設定、管理の手間をかけずに、インターネットを宛先とするトラフィックの保護が可能になります。

図1:GWLBEを使用したNorth-Southのインスペクション

アプリケーションインスタンスやインターネットゲートウェイからのネットワークトラフィックは、VPCのGWLBEに送信されます。GWLBEは、このVPCトラフィックを、セキュリティとネットワークの両方を運用するチームが管理する一元セキュリティサービスVPCに属するサブネットのGWLBに送信します。GWLBがこのVPCトラフィックをFortiGate仮想ファイアウォールにトンネリングし、VPCトラフィックがインスペクションされます。また、トンネリングにより、インスペクションするために送信されたトラフィックがスポークVPCから分離されます。インスペクションされたインターネットトラフィックは、インバウンドあるいはアウトバウンドの両方がVPCに返されます。あるいは、GWLBEがトラフィックをマネージドセキュリティサービスプロバイダーのVPCのGWLBに送信し、FortiGate仮想ファイアウォールでインスペクションすることもできます。

ユーザーのVPCネットワークトラフィックのルーティングには、VPC Ingress Routingテーブルに加えて、GWLBEとアプリケーションインスタンスの個別のサブネットルーティングテーブルも使用されます。これらの構成は、テンプレートを使用して簡単に自動化できます。L4ロードバランサーとしても機能するGWLBを使用し、さらには、FortiGate VMインスタンスをセキュリティサービスのVPCに追加することで、インスペクションするトラフィックの増加にも容易に対応できます。

2つ目のオプションは、AWS Transit Gateway(TGW)サービスを利用する方法です。TGWアタッチメントは、VPCアタッチメントまたはVPNアタッチメントの両方において、インターネットを宛先とするトラフィックを簡単に保護でき、仮想ファイアウォールやポリシーの設定や管理の手間がかかりません。

図2:TGWによるNorth-Southのインスペクション

この方法では、VPCトラフィックはTGWサービスを経由して、一元管理されたセキュリティサービスVPCに属するサブネットのAGWにルーティングされます。このアーキテクチャでは、独立したインターネットVPCでインターネットゲートウェイを使用することも、セキュリティサービスVPCにコロケーションすることもできます。TGW ENIとGWLBE ENIの両方がセキュリティサービスVPCに構成され、トラフィックがTGWからFortiGate仮想ファイアウォールにルーティングされ、インスペクションされます。TGWベースのアーキテクチャを使用することで、多数のVPCを実装する環境でのルーティングが大幅に簡素化されます。GWLBサービスを利用することにより、インスペクションを必要とするトラフィックの増減に合わせて、FortiGate仮想ファイアウォールインスタンスを簡単にスケールアップしたりスケールダウンしたりできます。

ユースケース2:East-Westのインスペクション

AWSの急速な普及に伴い、組織における単一のVPCから多数のVPCへの移行が急速に進んでいます。多くの場合、これらのVPCは、セキュリティの知識を持たないアプリケーション開発チームによって管理されています。アプリケーションはオープンソースコードで構築される場合が多いため、サイバー犯罪者がVPCで攻撃を仕掛けるために悪用できる脆弱性が存在する可能性があります。このような状況を回避するには、VPC間トラフィックフローのインスペクションが必要です。FortiGate VMとGWLBサービスを利用することで、これらの保護が可能になります。

図3:TGWによるEast-Westのインスペクション

ほとんどのお客様が、大量のVPCの導入にあたってTGWを採用します。また、ネットワークトポロジやルーティングの観点から、このユースケースでも、前述のユースケース1でのTGWの場合と同様の実装を利用できます。GWLBは、インスペクションを必要とするトラフィックの増加に合わせて、FortiGate仮想ファイアウォールの保護機能をシンプルかつ効果的に拡張できます。

フォーティネットとAWSのコラボレーションの強化 

フォーティネットは、AWS Transit GatewayやAWS OutpostsなどのAWSのサービスとの既存のコラボレーションのさらなる強化に継続して取り組んでいます。FortiGate VM次世代ファイアウォールセキュリティとAWS Gateway Load Balancerの連携で実現する完全なクラウドセキュリティサービスとクラウド管理ソリューションにより、高速かつ柔軟なクラウドへのアクセスが可能になります。AWSを利用する組織は、フォーティネットのクラウドセキュリティ製品でワークロードが保護され、AWS環境への移行を確実に進めることができます。

フォーティネットの動的なクラウドセキュリティソリューションを導入することで、どのようにクラウドインストラクチャ全体で強化された可視性と制御を提供し、またデータセンターからクラウドに至る安全なアプリケーションと接続を確保しているか、詳細をご確認ください。

以下のケーススタディ(英語)では、Hillsborough Community CollegeWeLabフォーティネットの動的クラウドセキュリティソリューションを実装し、データセンターからクラウドへのセキュアな接続を実現した成功事例を紹介しています。

フォーティネットのユーザーコミュニティ(Fuse)にご参加ください。意見の交換やフォーティネットの製品およびテクノロジーの詳しい情報を入手できます。