Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Network FirewallとTransit Gateway統合
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Hibiki
September 09, 2025
440
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Network FirewallとTransit Gateway統合
Hibiki
September 09, 2025
More Decks by Hibiki
See All by Hibiki
[NW-JAWS]2025年版AWS IPv6関連アップデート
hibikisuaga
0
91
CloudWatchでちょっと楽してマルチアカウント監視
hibikisuaga
0
71
EC2→S3で学ぶクロスアカウント権限設計の勘所
hibikisuaga
3
1.1k
NW-JAWS VPC間接続のまとめ
hibikisuaga
0
33
MFA必須化でハマった謎エラー
hibikisuaga
0
50
NW-JAWS ルートテーブルとエンドポイント入門
hibikisuaga
2
800
Amplify_Reactで爆速アプリ開発.pdf
hibikisuaga
0
46
Featured
See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
Navigating Team Friction
lara
192
16k
Abbi's Birthday
coloredviolet
3
8.5k
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Paper Plane (Part 1)
katiecoart
PRO
0
9.5k
Optimizing for Happiness
mojombo
378
71k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
750
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
Are puppies a ranking factor?
jonoalderson
1
3.7k
Transcript
【マルチアカウントを上手に接続】 Network Firewallを使用した最新のデプロイモデル 須永 響 伊藤忠テクノソリューションズ株式会社
@gravitas580 須永 響 Hibiki Sunaga CTC(伊藤忠テクノソリューションズ株式会社 ) 新卒3年目 業務:AWSインフラ基盤の設計・構築 コミュニティ活動:NW-JAWS運営
:@gravitas580 About Me
@gravitas580 伝えたいこと 本LTでお伝えしたいことは以下の2つです ⚫ Network Firewallのアップデート情報 ⚫ マルチアカウントでのTransit GatewayとNetwork Firewallのデプロイモデル
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 利用するAWSサービスのおさらい Network Firewall • 通信をIPアドレス・ポート番号やドメインでフィルタリングするネットワークセキュリティサービス • 専用のエンドポイントを経由した通信を検査 • 送信元のCIDRごとにルールを変えることも可能
Transit Gateway • 複数のVPCやオンプレミスをハブとして接続・制御するサービス • マルチアカウントでの接続も可能 • マルチアカウントの接続時はResource Access Managerで共有 今回利用するサービスについて、独断と偏見でご説明します 以下のイメージを持っていただけるとこの後の話が少し聞きやすくなるかも
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 アップデート情報 ⚫ Network Firewall を Transit Gateway にネイティブ統合可能に ➢
AWS Network Firewall: Native AWS Transit Gateway support in all regions – AWS ⚫ 2025年7月から全リージョンで利用可能
@gravitas580 アップデートによる変化 Network Firewall専用のVPCを用意していた構成で・・・ ※構成はイメージです。
@gravitas580 アップデートによる変化 Network Firewall専用のVPCが不要になりました! ※構成はイメージです。
@gravitas580 アップデートによる変化(AWSブログ版) システム用VPC Network Firewall用VPC インターネットアウトバウンド用VPC アップデート前: 参考:AWS Network Firewallのデプロイモデル
| Amazon Web Services ブログ
@gravitas580 アップデートによる変化(AWSブログ版) システム用VPC Network Firewall用VPC インターネットアウトバウンド用VPC アップデート後: 参考:AWS Network Firewallのデプロイモデル
| Amazon Web Services ブログ こちらのVPCが不要に!!
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 検証 ⚫ WorkloadアカウントとNetworkアカウントを使用するマルチアカウント構成 ⚫ Workloadアカウント ➢ システムが動くようなアカウント ➢ プライベートサブネットにEC2を配置
⚫ Networkアカウント ➢ インターネットへの経路を集約するアカウント ➢ Transit Gateway、Network Firewall、Internet Gatewayを配置 この構成で動作することを検証
@gravitas580 検証 ⚫ 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成
3. Transit Gatewayルートテーブル作成 4. Network Firewall機能の確認 ⚫ 以下は実施済みの想定 ➢ EC2やNATゲートウェイ等リソースの作成 ➢ Transit Gatewayの作成とアカウント間共有 ※ アタッチメントとルートテーブルは未作成 ➢ ファイアウォールポリシー、ルールグループ(フィルタリング条件)の作成 ※ ホワイトリスト形式で「ctc-g.co.jp」宛の通信を許可
@gravitas580 1. Network Firewall作成 ⚫ Network Firewallの作成画面のアタッチメントタイプで Transit Gateway を指定
➢ 今まではVPCを選択することしかできなかったが、Transit Gatewayを選択できるように ⚫ ファイアウォールポリシーは作成済みのものを選択 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 2. Transit Gatewayアタッチメント作成 ⚫ Networkアカウント、WorkloadアカウントのVPCではVPCアタッチメントを作成 ⚫ Network Firewall用のアタッチメントはNetwork Firewall作成時に自動作成
検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 3. Transit Gatewayルートテーブル作成 ⚫ 3つのTransit Gatewayアタッチメントに対して、それぞれルートテーブルを作成 Destination Target 0.0.0.0/0
Network Firewallアタッチメント Destination Target 0.0.0.0/0 Egress VPCアタッチメント Workload VPCの CIDR Workload VPCアタッチメント Destination Target 0.0.0.0/0 Network Firewallアタッチメント Workload VPC Network VPC Network Firewall 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 4. Networkフィルタリングの確認 ⚫ ホワイトリストの「ctc-g.co.jp」へcurl、フィルタリングがpassされることを確認 ⚫ ホワイトリスト外の「google.com」へcurl、フィルタリングでdropされることを確認 検証の流れ 1. Network
Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 検証 無事新しい構成でも動作することを確認できました
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 まとめ ⚫ Network FirewallをTransit Gatewayアタッチメントに直接紐づけられるようになった ⚫ 統合機能により、専用VPCを作らなくてもいいようになった ➢ VPC設計・構築の負荷が減った
➢ サブネット、ルートテーブルの作成やCIDRの管理の手間が減るように ⚫ (感想)今回の構成はベストプラクティスの一つになるかなと思ってます