新サービス AWS Network Firewall Proxy の紹介

Transcript

1. JAWS-UG横浜 #97 AWS re:Invent 2025 re:Cap Security AWS Network Firewall

   Proxyの紹介 2026/1/31 坂江克斗

2. 2 © DENTSU SOKEN INC. 自己紹介 坂江 克斗 学部 趣味

   理工学研究科（建築⇒制御工学） 読書・勉強、自然を見る（旅行・散歩） 筋トレ、バレー さかえ かつと 配属 株式会社電通総研 金融IT本部 2年目 Japan AWS Jr. Champions選出 に向けても活動中

3. 3 アーキテクチャ 目次 INDEX 02 概要 01 03 動作イメージ 04

   関連リソース 05 検証 06 まとめ

4. 4 © DENTSU SOKEN INC. 概要 ◼ AWS re:Invent 2025

   - AWS Network Firewall Proxy (NET216) ➢ 上記講演にて発表 ( https://youtu.be/1u6GP46C9oI?si=EIrom8DPDbXLlqca ) Akshay Choudhry Principal Product Manager, VPC Tom Adamski Principal Solution Architect, VPC

5. 5 © DENTSU SOKEN INC. 概要 ◼ AWS Network Firewall

   Proxy ➢ AWSマネージドなHTTP / HTTPS通信専用のフォワードプロキシ ➢ 現在プレビュー中（2026年1月時点） • オハイオリージョン （us-east-2）でのみ使用可能 • 無料、ただしプロキシの作成数上限が1個 ➢ AWSのアウトバウンドセキュリティサービスに新規追加！ サービス名 レイヤー 役割 Amazon Route53 DNS Resolver Firewall DNS ドメインフィルタ Security Group, Network ACL L3-L4 ファイアウォール（簡素） Gateway Load Balancer + 3rd party アプライアンス L3-L7 ファイアウォール（高機能: IDS/IPS） AWS Network Firewall L3-L7 ファイアウォール（高機能: IDS/IPS） 【New】AWS Network Firewall Proxy L3-L7 ( + DNS) HTTP/HTTPS専用 フォワードプロキシ

6. 6 © DENTSU SOKEN INC. 概要 ◼ AWS Network Firewall

   Proxy ➢ AWSマネージドなHTTP / HTTPS通信専用のフォワードプロキシ ➢ 現在プレビュー中（2026年1月時点） • オハイオリージョン （us-east-2）でのみ使用可能 • 無料、ただしプロキシの作成数上限が1個 ➢ AWSのアウトバウンドセキュリティサービスに新規追加！ サービス名 レイヤー 役割 Amazon Route53 DNS Resolver Firewall DNS ドメインフィルタ Security Group, Network ACL L3-L4 ファイアウォール（簡素） Gateway Load Balancer + 3rd party アプライアンス L3-L7 ファイアウォール（高機能: IDS/IPS） AWS Network Firewall L3-L7 ファイアウォール（高機能: IDS/IPS） 【New】AWS Network Firewall Proxy L3-L7 ( + DNS) HTTP/HTTPS専用 フォワードプロキシ サブネット分割・ルートテーブルと合わせた ネットワークセキュリティのベース

7. 7 © DENTSU SOKEN INC. 概要 ◼ AWS Network Firewall

   Proxy ➢ AWSマネージドなHTTP / HTTPS通信専用のフォワードプロキシ ➢ 現在プレビュー中（2026年1月時点） • オハイオリージョン （us-east-2）でのみ使用可能 • 無料、ただしプロキシの作成数上限が1個 ➢ AWSのアウトバウンドセキュリティサービスに新規追加！ サービス名 レイヤー 役割 Amazon Route53 DNS Resolver Firewall DNS ドメインフィルタ Security Group, Network ACL L3-L4 ファイアウォール（簡素） Gateway Load Balancer + 3rd party アプライアンス L3-L7 ファイアウォール（高機能: IDS/IPS） AWS Network Firewall L3-L7 ファイアウォール（高機能: IDS/IPS） 【New】AWS Network Firewall Proxy L3-L7 ( + DNS) HTTP/HTTPS専用 フォワードプロキシ TCP/UDPに対して細かくフィルタ・制御したい場合に追加 ⇒ 要件に対する性能とコスト（高）の考慮が重要

8. 8 © DENTSU SOKEN INC. 概要 ◼ AWS Network Firewall

   Proxy ➢ AWSマネージドなHTTP / HTTPS通信専用のフォワードプロキシ ➢ 現在プレビュー中（2026年1月時点） • オハイオリージョン （us-east-2）でのみ使用可能 • 無料、ただしプロキシの作成数上限が1個 ➢ AWSのアウトバウンドセキュリティサービスに新規追加！ サービス名 レイヤー 役割 Amazon Route53 DNS Resolver Firewall DNS ドメインフィルタ Security Group, Network ACL L3-L4 ファイアウォール（簡素） Gateway Load Balancer + 3rd party アプライアンス L3-L7 ファイアウォール（高機能: IDS/IPS） AWS Network Firewall L3-L7 ファイアウォール（高機能: IDS/IPS） 【New】AWS Network Firewall Proxy L3-L7 ( + DNS) HTTP/HTTPS専用 フォワードプロキシ 明示的なプロキシであり、クライアント設定に依存 ⇒ベースのネットワークセキュリティが担保された上で使用

9. 9 © DENTSU SOKEN INC. アーキテクチャ ◼ 従来のアーキテクチャ ➢ 小規模なサービスであれば単体のEC2で実装可能です（Squid等）

   ➢ 可用性や性能拡張性を考慮する場合は、以下の構成が一例となります

10. 10 © DENTSU SOKEN INC. アーキテクチャ ◼ AWS Network Firewall

    Proxy（小規模） ➢ NAT ゲートウェイと統合されたプロキシが作成されます ➢ クライアントは専用のインターフェースVPCエンドポイント経由でプロキシへアクセスします 後ほど説明する TLSインターセプト機能に使用します （TLSセッションの分断） Securing Egress Architectures with Network Firewall Proxyより引用 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/

11. 11 © DENTSU SOKEN INC. アーキテクチャ ◼ AWS Network Firewall

    Proxy（大規模） ➢ マルチVPCのハブ＆スポーク構成を想定 ➢ Private Link構成だけでなく、Transit GatewayやCloud WANによる構成も可能です Securing Egress Architectures with Network Firewall Proxyより引用 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/

12. 12 © DENTSU SOKEN INC. 動作イメージ Securing Egress Architectures with

    Network Firewall Proxyより引用 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/ ◼ 評価プロセス ① Pre-DNS クライアントとのHTTPセッションの 作成前に評価 ② Pre-Request 宛先へのHTTPリクエスト前に評価 ③ Post-Response 宛先からのHTTPレスポンス後に評価

13. 13 © DENTSU SOKEN INC. 動作イメージ Securing Egress Architectures with

    Network Firewall Proxyより引用 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/ ◼ TLSインターセプト プライベートCAを基に TLS/HTTPセッションを個別に作成する ⇒ HTTPヘッダが評価可能に！

14. 14 © DENTSU SOKEN INC. リソースの詳細 ◼ 全体像 ➢ AWS

    Network Firewallと同様の階層構造

15. 15 © DENTSU SOKEN INC. リソースの詳細 ◼ ルール・ルールグループ ➢ ルールグループを箱として、中にルールを追加していきます

    【評価フェーズ】Pre-DNS / Pre-request / Post-response 【評価条件キー】（右に記載） 【評価演算子 】StringLike, StringEquals等多数 【評価値 】任意の値 ※リスト指定可 ルール 1 ルール 2 ルール 3 ルールグループ ルール 4

16. 16 © DENTSU SOKEN INC. リソースの詳細 ◼ ルール・ルールグループ ➢ ルールグループを箱として、中にルールを追加していきます

    【評価フェーズ】Pre-DNS / Pre-request / Post-response 【評価条件キー】（右に記載） 【評価演算子 】StringLike, StringEquals等多数 【評価値 】任意の値 ※リスト指定可 ルール 1 ルール 2 ルール 3 ルールグループ ルール 4 • request:SourceAccount：送信元のAWSアカウントID • request:SourceVpc：送信元のVPCID • request:SourceVpce：送信元のVPCエンドポイントID • request:Time • request:SourceIp • request:DestinationIp • request:SourcePort • request:DestinationPort • request:Protocol • request:DestinationDomain：DNSクエリ or SNI • request:Http:Uri • request:Http:Method • request:Http:UserAgent • request:Http:ContentType • request:Http:Header/{CustomHeaderName} • response:Http:StatusCode • response:Http:ContentType • response:Http:Header/{CustomHeaderName} リクエスト用の条件キー レスポンス用の条件キー ※ HTTPヘッダに関しては、TLSインターセプト有効時のみ設定可能

17. 17 © DENTSU SOKEN INC. リソースの詳細 ◼ プロキシ設定・プロキシ ➢ プロキシ設定には以下を設定

    • 1つ以上のルールグループ • Pre-DNS / Pre-request / Post-response それぞれの デフォルトアクション ➢ プロキシには以下を設定 • 1つのプロキシ設定 • プロキシがリッスンするHTTP/HTTPSポート • 紐付け先のNATゲートウェイ • ログ出力先 • Pre-DNS / Pre-request / Post-response 個別設定可能 • Cloudwatch, S3, Kinesis Data Firehouse • プライベートCA （TLSインターセプト有効時） • 証明書テンプレート・リソースポリシーに 下位CA証明書を発行する権限が必須

18. 18 © DENTSU SOKEN INC. リソースの詳細 ◼ プロキシ設定・プロキシ ➢ プロキシ設定には以下を設定

    • 1つ以上のルールグループ • Pre-DNS / Pre-request / Post-response それぞれの デフォルトアクション ➢ プロキシには以下を設定 • 1つのプロキシ設定 • プロキシがリッスンするHTTP/HTTPSポート • 紐付け先のNATゲートウェイ • ログ出力先 • Pre-DNS / Pre-request / Post-response 個別設定可能 • Cloudwatch, S3, Kinesis Data Firehouse • プライベートCA （TLSインターセプト有効時） • 証明書テンプレート・リソースポリシーに 下位CA証明書を発行する権限が必須 プロキシは、紐付けたCAから下位CA証明書を発行し、 この下位CA証明書を用いてエンドエンティティ証明書を 発行すると考えられます

19. 19 © DENTSU SOKEN INC. 検証 ◼ 実装方針 ➢ 右図に示すアーキテクチャを再現

    • EC2に明示的なプロキシの設定をして検証 ➢ Network Firewall Proxyの設定 • プライベートCAを設定（TLSインターセプト） • ルール • Pre-DNS • ドメイン tech.dentsusoken.com をDeny • デフォルトアクションはAllow • Pre-Request • URI */files/* をDeny • デフォルトアクションはAllow • Post-Response • レスポンスステータス 404 をDeny • デフォルトアクションはAllow • ログ出力先はCloudWatch Securing Egress Architectures with Network Firewall Proxyより引用 https://aws.amazon.com/jp/blogs/networking-and-content- delivery/securing-egress-architectures-with-network-firewall-proxy/

20. 20 © DENTSU SOKEN INC. 検証 ◼ VPCコンソールからプロキシを作成 ➢ プロキシの作成以外は全てTerraformで実装

    ルールグループ・ルール

21. 21 © DENTSU SOKEN INC. 検証 ◼ VPCコンソールからプロキシを作成 プロキシ設定

22. 22 © DENTSU SOKEN INC. 検証 ◼ VPCコンソールからプロキシを作成 プロキシ

23. 23 © DENTSU SOKEN INC. 検証 ◼ EC2の設定 ➢ 明示的なプロキシ設定

    ➢ プライベートCAの使用に伴い、トラストアンカーの設定は必須（Terraform） • trust listコマンドで設定の反映を確認

24. 24 © DENTSU SOKEN INC. 検証 ◼ EC2からcurlしてみる ➢ Pre-DNS：ドメイン

    tech.dentsusoken.com をDeny 想定通り403で拒否 CloudWatchログ

25. 25 © DENTSU SOKEN INC. 検証 ◼ EC2からcurlしてみる ➢ Pre-Request：URI

    */files/* をDeny CloudWatchログ 想定通り403で拒否

26. 26 © DENTSU SOKEN INC. 検証 ◼ EC2からcurlしてみる ➢ Post-Response：レスポンスステータス

    404 をDeny CloudWatchログ 想定通り403で拒否

27. 27 © DENTSU SOKEN INC. まとめ ◼ 調査・検証を経て ➢ AWS

    Network Firewall Proxy は、HTTP/HTTPS専用のマネージドなフォワードプロキシ ➢ シンプルかつマネージドで、構築・運用の負荷は低い ➢ 正式リリース時のコストや、TLSインターセプト利用時の証明書の運用面は検討ポイント ➢ 今後のマネージドルールの追加等に期待 ➢ 他のアウトバウンドセキュリティサービスとの要件に応じた、主軸の使い分け • ドメインベースの制御には Route 53 Resolver DNS Firewall • UDP/TCP を含めた広範な通信評価が必要な場合には Network Firewall • HTTP/HTTPS に限定した通信制御には Network Firewall Proxy • ※ 他のネットワークセキュリティサービス等と組み合わせた多層防御が前提。 今回発表したAWS Network Firewall Proxyに関する内容はテックブログに投稿済みのため、 割愛した実装や詳細部分に関してはそちらをご参照ください

28. 本文書 （添付資料を含む） は、 株式会社電通総研が著作権その他の権利を有する営業秘密 （含サプライヤー等第三者が権利を有するもの） です。 当社の許可なく複製し利用すること、また漏洩することは 「著作権法」 「不正競争防止法」 によって禁じられております。

    本資料内の社名・製品名は各社の登録商標です。 CONFIDENTIAL