Network Securityエンドポイントを展開する前に、インフラストラクチャを確認し、Network Securityに求める具体的なセキュリティ成果と要件を分析してください。Network Securityは、多くの異なる環境構成と展開を保護できます。
[Supported regions]
ホスト型インフラストラクチャの展開は、現在、以下のAWSリージョンでサポートされています:
  • us-west-1, us-west-2
  • us-east-1, us-east-2
  • sa-east-1
  • ap-south-1
  • ap-southeast-1, ap-southeast-2
  • ap-northeast-1, ap-northeast-2, ap-northeast-3
  • eu-central-1
  • eu-north-1
  • eu-west-1、eu-west-2、eu-west-3
  • ca-central-1
以下に、Network Securityエンドポイントの展開とルーティングを構成するのに役立つ、パブリック向けアセットを含むさまざまな環境構成の例をいくつか示します。

アプリケーションロードバランサー (ALB) を使用する環境

この構成は、単一のVPC内でALBターゲットに対する強化された保護を必要とするクラウド環境に最適です。ALBは、暗号化されたIPv4トラフィックのTLS終端を可能にし、TLS Inspectionやより具体的なルーティングを支援することで、トラフィックを環境内の複数のターゲットやAZに分散させることができます。AWSでのアプリケーションロードバランサーのサポートについて詳しくはこちら
このタイプの環境には通常、「Workload」VPCが含まれます。これは、インターネットゲートウェイと同様に、パブリックに面したアセットを持つVPCです。VPC内の各AZには、NATゲートウェイと、各々のデフォルトルートテーブルを持つパブリックおよびプライベートサブネットも含まれます。
この展開タイプでは、トラフィックはインターネットゲートウェイからALBおよびNATゲートウェイを使用してWorkload VPCに流れます。ALBはその後、トラフィックをさまざまなWorkload VPC AZ内のリソースに分配します。Network Securityエンドポイントが展開されると、このトラフィックはALBを通過した後に検査のためにNetwork Securityに転送されます。
以下は、Network Securityエンドポイントが展開されるの、このタイプの環境の縮小例です。緑は受信トラフィックを表し、オレンジは送信トラフィックを表します。
NSMS_review_env_public_assets_ALB=c8bec7e2-c4f8-4f63-951d-b059b8565341.png

エッジでルーティングする環境

この構成は、インターネットからのトラフィックに対する保護が必要なパブリック向けアセットを含むクラウド環境に最適です。ただし、ALBは使用しません。これらの環境では、通常、単一のVPC内のパブリックアセットの保護が必要です。この種の環境には、パブリック向けアセットを持つ「Workload」VPC、インターネットゲートウェイ、およびルートテーブルを持つパブリックサブネットが含まれることが一般的です。
この展開タイプでは、トラフィックはインターネットゲートウェイからWorkload VPCに流れ込み、パブリック向けのアセットに到達します。Network Securityエンドポイントが展開されると、この受信トラフィックはパブリックアセットに到達する前に検査のためにNetwork Securityに転送されます。
以下は、Network Securityエンドポイントが展開されるの、このタイプの環境の縮小例です。緑は受信トラフィックを表し、オレンジは送信トラフィックを表します。
NSMS_review_env_public_assets_IGW=a712c5d4-34b8-4893-a8c0-b7aae9956a52.png

Transit Gatewayを使用する環境

この構成は、Transit Gatewayを使用して異なるVPC間でトラフィックを送信する集中型アーキテクチャのクラウド環境に最適です。これらの環境では、Transit Gatewayに接続された複数のVPC内のアセットの保護が必要となることがよくあります。AWS Transit Gatewayは、ハブアンドスポークトポロジーをサポートするためによく使用されます。AWS Transit Gatewayの詳細はこちら
この展開タイプでは、パブリックに公開されているアセットを含むWorkload VPCから、セキュリティVPCと呼ばれる集中型の共有サービスVPCにトラフィックが流れることができます。Network Securityエンドポイントが展開された後、トラフィックはセキュリティVPCを通過した後にNetwork Securityに転送され、検査されます。
以下は、Network Securityエンドポイントが展開されるの、このタイプの環境の縮小版の例です。
NSMS_review_env_public_assets_TGW=7110067b-bdb8-40a5-b14b-cdbc498da98b.png
[Before you deploy Network Security endpoints, make note of the following items in your cloud environment]:
  • [VPC ID:] 保護が必要な環境内のVPCを特定します。これは、Network Securityエンドポイントを展開するVPCです。例えば、Transit Gatewayを使用する場合、Network Securityエンドポイントは、上記の例で「Security VPC」として示されている集中VPCに展開します。
  • [Availability Zones (AZs):] 選択したVPC内のAZを特定します。保護されたVPCの各AZにNetwork Securityエンドポイントをデプロイする必要があります。
  • [Subnet IDs or /28 CIDR ranges:] 各Network Securityエンドポイントには専用のサブネットが必要です。Network Securityエンドポイントを展開する各AZにこのサブネットを作成することをお勧めします。あるいは、Network Securityがエンドポイント展開中にこれらの専用サブネットを作成するために、利用可能なCIDR範囲 (/28 CIDRの使用をお勧めします) を入力することもできます。
環境を確認した後、Network Securityエンドポイントを作成してください。