このページのトピック

展開オプションを選択する

Network Security は、Amazon Machine Image（AMI）として提供されます。 Network Security をネットワークに展開する方法を決定するときは、次の展開オプションのいずれかを選択することをお勧めします。

Network Security 仮想アプライアンスは自動スケーリングをサポートしていません。

展開オプションは、さまざまな一般的なAWS環境用に作成されたリファレンスアーキテクチャです。既存のネットワーク構造と検査のニーズに最適なオプションを選択します。展開に関するこれらの推奨事項は、ネットワークの個々の要件に合わせて変更することもできます。

イメージ内の矢印は、VPCおよび Network Security インスタンスを通過するネットワークトラフィックのフローを示しています。

インバウンドインターネットトラフィックの検査

次の展開オプションは、インターネットゲートウェイからVPCに流れ込むトラフィックを検査する必要がある環境に最適です。

オプション1：エッジ保護展開（推奨）： この展開は、主にインターネットからの接続を受信するサーバを保護します。展開チェックリスト

このオプションは、 Network Security 管理インタフェースで Deploy Protection ウィザードを使用して自動的に展開します。

この展開オプションは、次の環境が必要な場合に最適です。

Webサーバを保護するシンプルなネットワーク設計。
複数の仮想アプライアンスの展開。
VPCとインターネット間、およびVPCとVPNゲートウェイ間の検査。
単一のVPC —この展開オプションでは、Transit Gatewayは必要ありません。
AWSのベストプラクティスに準拠したサードパーティ製アプライアンスの統合。

この展開オプションは、アウトバウンドインターネットトラフィックにNATゲートウェイが使用されている場合、実際の送信元インスタンスのIPアドレスを示しません。

展開の環境構造とルーティングの詳細については、以下の図を参照してください。数字の付いた矢印は、環境内のトラフィックの流れの順序を表しています。緑色は要求を表し、オレンジ色は応答を表します。

動的な自動スケーリングは、 Network Securityの Gateway Load Balancer ではまだサポートされていません。

オプション2：インバウンドトラフィック用の Gateway Load Balancer を使用した集中型仮想アプライアンスの展開：この展開は、主にインターネットから接続を受信するサーバを保護します。

この展開オプションは、次の環境が必要な場合に最適です。

複数のAWSアカウントにまたがる複数のVPCのセキュリティを一元管理する必要がある環境。
1つまたは複数のワークロードVPCを含む環境。
Network Security 仮想アプライアンスと Gateway Load Balancer が配置された個別のVPC（下の図では「Security VPC」と呼びます）。
AWSネットワークを離れずに、Workload VPCにある Gateway Load Balancer VPCエンドポイントを通過するトラフィック。

アウトバウンドインターネットトラフィックとラテラルトラフィックの検査

次の展開オプションは、インターネットゲートウェイ経由でパブリックVPCから送信されるトラフィックを検査する必要がある環境や、環境内のVPC間の東から西へのトラフィックフローを検査する必要がある環境に最適です。

動的な自動スケーリングは、 Network Securityの Gateway Load Balancer ではまだサポートされていません。

オプション3 ：アウトバウンドまたはラテラルトラフィック用にGateway Load Balancerを備えた一元化された仮想アプライアンスを展開する：この展開は、主にEC2インスタンスからインターネットに、および/または異なるワークロードVPCのEC2インスタンス間でトラフィックを送信するAWSアーキテクチャ向けに設計されています。

この展開オプションは、次の環境が必要な場合に最適です。

一元化されたセキュリティVPCによる保護を同時に必要とする複数のワークロードVPC。
Transit Gatewayを使用する環境。

このトポロジでは、インバウンド接続は検査されません。

このページのトピック

展開オプションを選択する

インバウンドインターネットトラフィックの検査

アウトバウンドインターネットトラフィックとラテラルトラフィックの検査

前へ

次へ