Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Network FirewallとTransit Gateway統合
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Hibiki
September 09, 2025
3
310
Network FirewallとTransit Gateway統合
Hibiki
September 09, 2025
Tweet
Share
More Decks by Hibiki
See All by Hibiki
[NW-JAWS]2025年版AWS IPv6関連アップデート
hibikisuaga
0
60
CloudWatchでちょっと楽してマルチアカウント監視
hibikisuaga
0
46
EC2→S3で学ぶクロスアカウント権限設計の勘所
hibikisuaga
3
890
NW-JAWS VPC間接続のまとめ
hibikisuaga
0
10
MFA必須化でハマった謎エラー
hibikisuaga
0
21
NW-JAWS ルートテーブルとエンドポイント入門
hibikisuaga
2
720
Amplify_Reactで爆速アプリ開発.pdf
hibikisuaga
0
29
Featured
See All Featured
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.1k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
430
Leading Effective Engineering Teams in the AI Era
addyosmani
9
1.5k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
0
250
Faster Mobile Websites
deanohume
310
31k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.6k
What does AI have to do with Human Rights?
axbom
PRO
0
1.9k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.7k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.1k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
The Art of Programming - Codeland 2020
erikaheidi
57
14k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
300
Transcript
【マルチアカウントを上手に接続】 Network Firewallを使用した最新のデプロイモデル 須永 響 伊藤忠テクノソリューションズ株式会社
@gravitas580 須永 響 Hibiki Sunaga CTC(伊藤忠テクノソリューションズ株式会社 ) 新卒3年目 業務:AWSインフラ基盤の設計・構築 コミュニティ活動:NW-JAWS運営
:@gravitas580 About Me
@gravitas580 伝えたいこと 本LTでお伝えしたいことは以下の2つです ⚫ Network Firewallのアップデート情報 ⚫ マルチアカウントでのTransit GatewayとNetwork Firewallのデプロイモデル
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 利用するAWSサービスのおさらい Network Firewall • 通信をIPアドレス・ポート番号やドメインでフィルタリングするネットワークセキュリティサービス • 専用のエンドポイントを経由した通信を検査 • 送信元のCIDRごとにルールを変えることも可能
Transit Gateway • 複数のVPCやオンプレミスをハブとして接続・制御するサービス • マルチアカウントでの接続も可能 • マルチアカウントの接続時はResource Access Managerで共有 今回利用するサービスについて、独断と偏見でご説明します 以下のイメージを持っていただけるとこの後の話が少し聞きやすくなるかも
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 アップデート情報 ⚫ Network Firewall を Transit Gateway にネイティブ統合可能に ➢
AWS Network Firewall: Native AWS Transit Gateway support in all regions – AWS ⚫ 2025年7月から全リージョンで利用可能
@gravitas580 アップデートによる変化 Network Firewall専用のVPCを用意していた構成で・・・ ※構成はイメージです。
@gravitas580 アップデートによる変化 Network Firewall専用のVPCが不要になりました! ※構成はイメージです。
@gravitas580 アップデートによる変化(AWSブログ版) システム用VPC Network Firewall用VPC インターネットアウトバウンド用VPC アップデート前: 参考:AWS Network Firewallのデプロイモデル
| Amazon Web Services ブログ
@gravitas580 アップデートによる変化(AWSブログ版) システム用VPC Network Firewall用VPC インターネットアウトバウンド用VPC アップデート後: 参考:AWS Network Firewallのデプロイモデル
| Amazon Web Services ブログ こちらのVPCが不要に!!
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 検証 ⚫ WorkloadアカウントとNetworkアカウントを使用するマルチアカウント構成 ⚫ Workloadアカウント ➢ システムが動くようなアカウント ➢ プライベートサブネットにEC2を配置
⚫ Networkアカウント ➢ インターネットへの経路を集約するアカウント ➢ Transit Gateway、Network Firewall、Internet Gatewayを配置 この構成で動作することを検証
@gravitas580 検証 ⚫ 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成
3. Transit Gatewayルートテーブル作成 4. Network Firewall機能の確認 ⚫ 以下は実施済みの想定 ➢ EC2やNATゲートウェイ等リソースの作成 ➢ Transit Gatewayの作成とアカウント間共有 ※ アタッチメントとルートテーブルは未作成 ➢ ファイアウォールポリシー、ルールグループ(フィルタリング条件)の作成 ※ ホワイトリスト形式で「ctc-g.co.jp」宛の通信を許可
@gravitas580 1. Network Firewall作成 ⚫ Network Firewallの作成画面のアタッチメントタイプで Transit Gateway を指定
➢ 今まではVPCを選択することしかできなかったが、Transit Gatewayを選択できるように ⚫ ファイアウォールポリシーは作成済みのものを選択 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 2. Transit Gatewayアタッチメント作成 ⚫ Networkアカウント、WorkloadアカウントのVPCではVPCアタッチメントを作成 ⚫ Network Firewall用のアタッチメントはNetwork Firewall作成時に自動作成
検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 3. Transit Gatewayルートテーブル作成 ⚫ 3つのTransit Gatewayアタッチメントに対して、それぞれルートテーブルを作成 Destination Target 0.0.0.0/0
Network Firewallアタッチメント Destination Target 0.0.0.0/0 Egress VPCアタッチメント Workload VPCの CIDR Workload VPCアタッチメント Destination Target 0.0.0.0/0 Network Firewallアタッチメント Workload VPC Network VPC Network Firewall 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 4. Networkフィルタリングの確認 ⚫ ホワイトリストの「ctc-g.co.jp」へcurl、フィルタリングがpassされることを確認 ⚫ ホワイトリスト外の「google.com」へcurl、フィルタリングでdropされることを確認 検証の流れ 1. Network
Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 検証 無事新しい構成でも動作することを確認できました
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 まとめ ⚫ Network FirewallをTransit Gatewayアタッチメントに直接紐づけられるようになった ⚫ 統合機能により、専用VPCを作らなくてもいいようになった ➢ VPC設計・構築の負荷が減った
➢ サブネット、ルートテーブルの作成やCIDRの管理の手間が減るように ⚫ (感想)今回の構成はベストプラクティスの一つになるかなと思ってます
Your Podcast. Everywhere. Effortlessly.
hibikisuaga
ivargrimstad
tammyeverts
addyosmani
reverentgeek
deanohume
jcasabona
axbom
honnibal
kastner
aki_iinuma
erikaheidi
chikuwait
