【UPDATE】AWS Firewall Manager が Palo Alto Networks Cloud Next Generation Firewall のサポートを開始

高橋 (ポインコ兄) です。朝の散歩を始めました。

「AWS Firewall Manager が Palo Alto Networks Cloud Next Generation Firewall のサポートを開始」しました。(2022年3月30日)
今回はこのアップデートについて一体どういうことなのかを簡単に解説します。

本記事は、以下の Amazon Web Services ブログおよび更新情報を参考にしています。 aws.amazon.com aws.amazon.com

利用可能リージョン
「AWS Firewall Manager」とは?
- セキュリティポリシーについて
  - 今回のアップデートの変更点
料金
「Palo Alto Networks Cloud Next Generation Firewall」とは?
Palo Alto Networks Cloud Next Generation Firewall (Cloud NGFW) ポリシーを有効にしてみる
あとがき

利用可能リージョン

本記事執筆時点 (2022/4/13) で「Palo Alto Networks Cloud Next Generation Firewall」が利用可能なのは「米国東部 (バージニア北部) および米国西部 (北カリフォルニア) リージョン」のみです。

「AWS Firewall Manager」とは?

AWS Firewall Manager は、AWS Organizations にあるアカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするセキュリティ管理サービスです。新規アプリケーションが作成されると、Firewall Manager はセキュリティルールの共通セットを適用することで、新規アプリケーションとリソースを簡単にこれらに準拠させることができます。

AWS Firewall Manager（ファイアウォールルールの一元管理）| AWS

と記載がありますように、複数の AWS アカウントや複数の環境に対して、ファイアウォールのルール (セキュリティポリシー) を共通ルールとして組織全体に適用することができるサービスです。このセキュリティポリシーに次世代ファイアウォールのポリシーを使えるようになった、というのが今回のアップデートです。

セキュリティポリシーについて

まず今までセキュリティポリシーで使うことができたポリシーについておさらいします。
ポリシーには AWS のマネージドなものとして以下のものが選択できました。

AWS Firewall Manager ポリシー

AWS WAF : AWS WAF および AWS WAF Classic を使用して保護するリソースを定義します。
AWS Shield Advanced : 分散サービス妨害 (DDoS) に対する保護サービスで、指定したアカウント、リソースを保護します。
Security group : 組織全体のセキュリティグループを定義します。
AWS Network Firewall : AWS Network Firewall を使って VPC のトラフィックを保護します。
Amazon Route 53 Resolver DNS Firewall : 組織全体の DNS ファイアウォールを定義します。

参考 : AWS Firewall Manager ポリシーの使用 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

今回のアップデートの変更点

今回のアップデートで、先程あげた AWS のマネージドなポリシーに加え、新しくサードパーティのポリシー (Palo Alto Networks Cloud Next Generation Firewall (Cloud NGFW) ) が選択できるようになりました。

料金

通常の AWS Firewall Manager の料金はポリシー/リージョン毎に 100 USD (+ AWS Config 等の料金) という設定ですが、Cloud NGFW ポリシーは後述する「Cloud NGFW Pay-As-You-Go」サブスクライブの従量制料金がかかります。

ベースの料金が 1.637 USD / hour / AZ なので、例えば 2 つの AZ で使うとした場合...

1.637 * 2 * 24 * 30 = 2357.28 USD

毎月約 2400 USD が最低かかることになります。ちょっとお高いですね。。

「Palo Alto Networks Cloud Next Generation Firewall」とは?

では、今回使えるようになった「Palo Alto Networks Cloud Next Generation Firewall」とは、一体何なのでしょうか?

Palo Alto Networks Cloud Next-Generation Firewall（Cloud NGFW）は、AWSFirewallManagerポリシーに使用できるサードパーティのファイアウォールサービスです。Cloud NGFW for Firewall Managerを使用すると、すべてのAWSアカウントにCloudNGFWリソースとルールスタックを作成して一元的にデプロイできます。

Palo Alto Networks Cloud NGFW policies - AWS WAF, AWS Firewall Manager, and AWS Shield Advanced

Palo Alto Networks 社の次世代ファイアウォール (一般的には従来のファイアウォールにアプリケーションファイアウォールや侵入防止システム (IPS) などのフィルタリング機能を組み合わせたもの) のことで、このポリシーが AWS Firewall Manger のセキュリティポリシーとして使えるようになった、ということですね。 www.paloaltonetworks.jp
Amazon Web Services ブログでは、以下のように紹介されています。

署名、プロトコルのデコード、動作分析、ヒューリスティックを使用して、ネットワークパケットを復号し、内部を調べ、アプリケーションを識別できます。これにより、ポート、プロトコル、IP アドレスのみに基づく単純なモデルよりも効果的な、アプリケーション中心のきめ細かなセキュリティ管理を実装できます。Advanced URL Filtering を使用すると、ウイルス、スパイウェア、その他の種類のマルウェアを配布するサイトを集めたリスト (フィード) を利用するルールを作成できます。また、望ましいネットワークトラフィックと望ましくないネットワークトラフィックを識別して処理するためのオプションは他にも多数あります。最後に、Threat Prevention は、既知の脆弱性エクスプロイト、マルウェア、コマンドアンドコントロール通信を阻止します。

新機能 – Cloud NGFW for AWS | Amazon Web Services ブログ

Palo Alto Networks Cloud Next Generation Firewall (Cloud NGFW) ポリシーを有効にしてみる

詳細な手順はこちらから参照できます。掻い摘んで説明します。 docs.aws.amazon.com

Step1. AWS Firewall Manager の前提条件をクリア

AWS Firewall Manager は AWS Organizations や AWS Config が有効であることなど前提条件があるため、有効となっていない場合はそれらを有効にします。 docs.aws.amazon.com

Step2. クラウドNGFWの前提条件を完了する

Palo Alto Networks Cloud NGFW はサードパーティのファイアウォールとなりますので、AWS Marketplace でサブスクライブする必要があります。 docs.aws.amazon.com docs.aws.amazon.com

サブスクライブ完了後、Cloud NGFW テナントと AWS アカウントの紐づけをおこない、AWS Firewall Manager 側の設定「Third party firewall association status」で「Palo Alto Networks Cloud NGFW」を Associate します。 docs.paloaltonetworks.com

Step3. AWS Firewall ManagerCloudNGFWポリシーを作成して適用する

前提条件が完了したので、AWS Firewall Manager で Palo Alto Networks Cloud NGFW を使ったセキュリティポリシーを作成します。セキュリティポリシー作成 Step 1 の Choose policy type and Region で、「Palo Alto Networks Cloud NGFW」が選択できるようになっていると思います。
以降の詳細についてはドキュメントをご参照ください。 docs.aws.amazon.com こちらとあわせて見るとより分かりやすいかと思います。

Palo Alto Networks Cloud NGFW のポリシーや、設定手順などの詳細については Palo Alto Networks 社のドキュメントをご参照ください。 docs.paloaltonetworks.com