ネットワーク保護はどう変わるのか？re:Inforce 2025最新アップデート解説

Transcript

1. ネットワーク保護はどう変わるのか？：re:Inforce 2025 最新アップデート解説 クラスメソッド クラウド事業本部 トクヤマシュン Session 5 1

2. ⾃⼰紹介 トクヤマシュン • 所属：クラウド事業本部コンサルティング部 • 役割：AWSソリューションアーキテクト • 好きなAWSサービス：AWS Fargate •

   2025 Japan All AWS Certifications Engineer • 副業 ◦ 兵庫県明石市でカレー屋をやっています ▪ CURRY HOUSE Babbulkund (カレーハウス バブルクンド） ▪ 土曜日のみ営業 ▪ @babbulkund 　 @babbulkund 2 re:Inforceには2024現地 2025オンライン参加 re:Inforceはいいぞ！！

3. アジェンダ 3 • ネットワーク関連セキュリティアップデート紹介 • AWS Network Firewallのアップデート紹介 • AWS

   Shieldsのアップデート紹介

4. アジェンダ 4 • ネットワーク関連セキュリティアップデート紹介 • AWS Network Firewallのアップデート紹介 • AWS

   Shieldのアップデート紹介

5. re:Inforce 2025 で発表されたNW関連のアップデートを紹介するぜ！ 5 サービス アップデート内容 本日の発表者 AWS WAF 新しいコンソール体験

   arap AWS WAF 自動アプリケーションレイヤー分散型サービス拒否 (DDoS) 保護をサポート arap AWS Network Firewall AWS Transit Gatewayとの統合 トクヤマ AWS Network Firewall アクティブ脅威防御のサポート トクヤマ AWS Shield AWS Shield Network Security Directorの提供（Preview） トクヤマ

6. re:Inforce 2025 で発表されたNW関連のアップデートを紹介するぜ！ 6 サービス アップデート内容 本日の発表者 AWS WAF 新しいコンソール体験

   arap AWS WAF 自動アプリケーションレイヤー分散型サービス拒否 (DDoS) 保護をサポート arap AWS Network Firewall AWS Transit Gatewayとの統合 トクヤマ AWS Network Firewall アクティブ脅威防御のサポート トクヤマ AWS Shield AWS Shield Network Security Directorの提供（Preview） トクヤマ 本日は赤枠の3つの内容 について語ります！

7. アジェンダ 7 • ネットワーク関連セキュリティアップデート紹介 • AWS Network Firewallのアップデート紹介 • AWS

   Shieldのアップデート紹介

8. AWS Network Firewallとは？ 8 参考：AWS Network Firewall 応用編1 
 (https://d1.awsstatic.com/webinars/jp/pdf/services/202110_AWS_Black_Belt_Network_Firewall_advanced01.pdf)

   • EC2 から Network Firewall経由でインター ネット通信を行うフロー例 • サブネット単位で Network Firewall を経由 するようルーティングテーブルを設定 • Network Firewallは独立したサブネットに構 築する必要あり

9. AWS Network Firewall のアップデート 9 • 今回2つのアップデートがありました！ • AWS Transit

   Gatewayとの統合 ◦ AWS Transit Gateway と AWS Network Firewall を紐づけて設定できるように なりました！ ◦ これまでは専用のVPCを用意していたのが不要となり、ルート設計がシン プル・簡単に！ • アクティブ脅威防御のサポート ◦ AWSがこれまで蓄積してきた脅威インテリジェンスを元にしたマネージド ルールグループを提供！ ◦ ユーザーは Network Firewall で有効化するだけで利用でき、 AWS側で自動メンテされる ◦ Amazon GuardDuty で検知できていた一部項目が AWS マネージドな仕組みでブロック可能に！

10. AWS Transit Gatewayとの統合 10 Network Firewall構築時にアタッチメントタイプに「 Transit Gateway」が選択可能に！

11. AWS Transit Gatewayとの統合 11 Before：トラフィック検査用の VPC を構築することが一般的だった 　　　　→VPCが増えるたびにルートテーブルの管理が必要 参考：AWS Network

    Firewallのデプロイモデル (https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/)

12. AWS Transit Gatewayとの統合 12 After：TransitGatewayに Network Firewall をアタッチするだけで OK！ 　　　→Firewall用VPCが不要になりシンプル化。

    VPC増やMulti-AZ対応も楽チン！ 参考：AWS re:Inforce 2025 - AWS Network Firewall: Latest features and deployment options (NIS201-NEW) (https://www.youtube.com/watch?v=nauTd9uOtsU&list=PL2yQDdvlhXf9XkXzO5bXvtMaio6gAcdmN&index=8)

13. AWS Transit Gatewayとの統合 13 2025/07/02時点では、利用可能リージョンに制約があるのでご注意ください。 • 利用可能リージョン ◦ アフリカ (ケープタウン

    ) ◦ アジアパシフィック (ハイデラバード ) ◦ 欧州 (ストックホルム ) ◦ 欧州 (チューリッヒ ) ◦ 中東 (UAE)

14. AWS Transit Gatewayとの統合 14 実際の構築方法などはこちらのブログをご参照ください。 (https://dev.classmethod.jp/articles/aws-network-firewall-transit-gateway-native-integration/）

15. アクティブ脅威防御のサポート 15 AWS が MadPot と呼ばれる独自のグローバル honeypot を運用した知見を利用した 脅威防御ルールを AWSマネージドルールグループとして提供！

    参考：AWS re:Inforce 2025 - AWS Network Firewall: Latest features and deployment options (NIS201-NEW) (https://www.youtube.com/watch?v=nauTd9uOtsU&list=PL2yQDdvlhXf9XkXzO5bXvtMaio6gAcdmN&index=8）

16. アクティブ脅威防御のサポート 16 ルールは自動でメンテナンスされるので、ユーザーが意識する必要はありません。 参考：AWS re:Inforce 2025 - AWS Network Firewall:

    Latest features and deployment options (NIS201-NEW) (https://www.youtube.com/watch?v=nauTd9uOtsU&list=PL2yQDdvlhXf9XkXzO5bXvtMaio6gAcdmN&index=8

17. アクティブ脅威防御のサポート 17 2025/7/2時点で実に 7080ものルールを含むグループが提供されています。 URL、IP、ドメインといった情報を元に脅威トラフィックを検出します。

18. アクティブ脅威防御のサポート 18 下記のAWS GuardDuty の検知内容と重複があります。 Network Firewallでは対象の脅威トラフィックをブロックできるのが強みです！ （ただし私の環境ではブロックが成功しませんでした。またトライしてブログ化します（白目） ） Command

    and control related findings • Backdoor:EC2/C&CActivity.B • Backdoor:EC2/C&CActivity.B!DNS • Backdoor:Lambda/C&CActivity.B • Backdoor:Runtime/C&CActivity.B • Backdoor:Runtime/C&CActivity.B!DNS Cryptocurrency related findings • CryptoCurrency:EC2/BitcoinTool.B • CryptoCurrency:EC2/BitcoinTool.B!DNS • CryptoCurrency:Lambda/BitcoinTool.B • CryptoCurrency:Runtime/BitcoinTool.B • CryptoCurrency:Runtime/BitcoinTool.B!DNS • Impact:EC2/BitcoinDomainRequest.Reputation Other threat findings • Trojan:EC2/BlackholeTraffic!DNS • Trojan:Runtime/BlackholeTraffic!DNS • UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

19. アジェンダ 19 • ネットワーク関連セキュリティアップデート紹介 • Network Firewallのアップデート紹介 • AWS Shieldのアップデート紹介

20. AWS Shieldのアップデート 20 • 今回1つのアップデートがありました！ • AWS Shield Network Security

    Directorの提供（Preview） ◦ アカウント内のリソースを自動的に検出して、セキュリティ構成の評価を行ってくれ ます。 ▪ ある意味、AWS Security Hub や AWS Trusted Advisor といったサービスと似て いるといえそう ▪ いままでの AWS Shield Standard や Advancedとは少し気色が違う？？ ▪ ダッシュボードが直感的で使いやすい！ Amazon Qと密接に結合！ ◦ プレビュー版は無料で利用可能なのでとりあえず有効化してみましょう！ 習うより慣れろ！ ここからは実際のレポート画面のキャプチャをお見せします。

21. AWS Shield Network Security Director 解析作成 21

22. AWS Shield Network Security Director 解析作成 22

23. AWS Shield Network Security Director Dashoboard(全体) 23

24. AWS Shield Network Security Director Dashoboard(1/2) 24

25. AWS Shield Network Security Director Dashoboard(2/2) 25

26. AWS Shield Network Security Director Resource 26 検出リソース一覧はリソース確認画面から見ることも可能

27. AWS Shield Network Security Director Findings 27 Findings一覧はFindings確認画面から見ることも可能

28. AWS Shield Network Security Director Amazon Q 28

29. おわり 29 ネットワーク保護はどう変わるのか？ →より高いセキュリティレベルを、より楽に。 今後もネットワーク保護の進化に期待したいですね！！