トップ > Cloud NGFW > Cloud NGFW for AWSの基本構成と料金について

Cloud NGFW for AWSの基本構成と料金について

Cloud NGFW
記事タイトルとURLをコピーする

はじめに

2022年3月にCloud NGFW for AWSが発表されました。Cloud NGFWはPalo Alto Networksが提供する、クラウドネイティブの次世代ファイアウォールサービスです。オンプレミスでPalo Alto社の製品をお使いでAWSでも利用したい場合や、より高度なファイアウォールが欲しいというお客様などで利用されています。

今回は、Cloud NGFWの基本的な構成と、その構成時の料金について説明します。

Cloud NGFW for AWSとは

冒頭に記載した通り、Cloud NGFWはPalo Alto Networksが提供する、クラウドネイティブの次世代ファイアウォールサービスです。NGFW(次世代ファイアウォール)は、従来のファイアウォールの機能に加えより高度なセキュリティ対策を搭載した製品としてCloud NGFW登場以前から提供されていました。Cloud NGFWはAWS上で動作するクラウドネイティブなNGFWとなります。

Cloud NGFWが登場する前は、Palo Alto Networksが提供するVM-Series Next-Generation Firewallがありました。VM-Seriesは、ファイアウォールが動作するインスタンスを利用者自身が管理する必要があります。インスタンスのメンテナンスや冗長化構成をどう構成するかなどの考慮事項が多いです。弊社Blogにも導入の流れを記載した記事がありますので、よろしければご覧ください。

Cloud NGFWであれば、VM-Seriesで発生していたファイアウォール実行基盤のインフラストラクチャの用意が不要になります。これは、AWS Gateway Load Balancer(GWLB)を利用して実現されています。GWLBを介してPalo Alto Networksが管理するCloud NGFWにトラフィックを送信します。

また、インフラストラクチャの用意が不要であるだけでなく、更新、管理についても心配する必要がありません。可用性の対応やスケーリングなども含めて、Palo Alto Networksがフルマネージドで提供してくれます。

基本的な構成

早速構成を見ていきましょう。Cloud NGFWには分散/集中でのデプロイパターン、Network Firewallとの連携などいくつかの構成要素がありま。今回は基礎として、分散(1つのVPC)でのパターンを基本的な構成として紹介します。

基本的な構成の要件は以下の通りです。

  • 単一VPCでCloud NGFWを利用する
  • インターネットに向けて出ていくトラフィックの検査をCloud NGFWで実施する
  • インターネットへはNat Gatewayを経由して出ていく
  • Multi-AZ構成とする
  • サブネットは用途に応じて分割する

構成図は以下の図になります。

Cloud NGFW for AWSの基本構成図

この構成では、以下順にトラフィックがインターネットに送信されます。

  1. インターネット向けのトラフィックがインスタンスから送信される
  2. GWLBを経由してCloud NGFWにてトラフィックが検査される
  3. 検査され許可されたトラフィックがNat Gatewayに向けて送信される
  4. Nat Gatewayからインターネットに向けてトラフィックが送信される

戻りのトラフィックについては、ルートテーブルによりCloud NGFWに戻す必要があります。Public Subnet A Route Tableの10.20.0.0/24の設定が戻りの設定となります。

構築に関しては詳しくは触れませんが、Customer VPCについては通常のVPC構築と同じです。図の右にあるCloud NGFW for AWSについては、AWS MarketplaceからCloud NGFWを購入し、Cloud NGFW専用の管理画面から設定を実施する必要があります。公式ドキュメントにも記載がありますので、こちらを参考に構築してみてください。

費用の試算

先ほど示した構成のCloud NGFW部分の費用についての試算です。試算結果としては月額1,857ドル(Add-on2つ込み)です。一月は730時間想定、トラフィックは1TB検査した想定です。分類のAdvancedから始まる項目はオプションなので、もし不要な場合は月額1,160ドルになります。この月額1,160ドルが月額最低料金の目安となります。

分類 項目 単価($) 月額($)
基本リソース 利用時間(1時間あたり) 1.5 1,095
トラフィック検査(1GBあたり) 0.065 65
Advanced Threat Prevention 利用時間(1時間あたり) 0.45 329
トラフィック検査(1GBあたり) 0.02 20
Advanced URL Filtering 利用時間(1時間あたり) 0.45 329
トラフィック検査(1GBあたり) 0.02 20
合計 1,857

Cloud NGFWの料金は大きく2つ、基本料金とアドオン料金に分類されます。さらにそれぞれに利用時間単位、トラフィック検査量に応じた課金がされるといった体型です。詳しくは公式の資料をご覧ください。

基本料金は、Cloud NGFWをデプロイすると必ず発生する料金です。最大で3AZまでは含まれています。今回は2AZなので、利用時間による課金は、単価1.5$ x 730時間で1,095ドルとなります。さらにトラフィック検査料として単価0.065$x1000GB(1TB)で65ドルがかかります。

アドオン料金については、Cloud NGFWで有効化するアドオン(脅威対策、高度なURLフィルタリング、DNSセキュリティ、WildFireなど)に応じて発生する料金です。今回は脅威対策、高度なURLフィルタリングの2つを有効にする想定で試算しています。

さらに、Customer VPC部分に関しても費用がかかってきますのでご注意ください。Cloud NGFWではGWLBを利用するので、試算の際にはこちらも忘れないようにしましょう。今回の試算は、Marketplaceから調達するCloud NGFWの費用部分のみとなります。

おわりに

今回は触れていませんが、インスペクションVPCを利用した複数VPCの検査や、Firewall Managerとの連携といったより高度なデプロイオプションもあります。公式ドキュメントにはそういったデプロイオプションについてもまとまっていますので、一度確認いただくとCloud NGFWで何ができるかを掴めるかと思います。

料金に関しては前払い(クレジット購入)し、より低コストで利用するといったオプションもあります。Marketplaceからの購入は弊社AWS請求代行サービスからの購入も可能ですので、よろしければご検討ください。

石田順一(記事一覧)

カスタマーサクセス部 CS3課