AWSセキュリティグループとは?

AWSセキュリティグループとは?

AWS セキュリティグループは、EC2 インスタンスの仮想ファイアウォールとして機能し、送受信トラフィックを制御します。 インバウンドルールとアウトバウンドルールはどちらも、インスタンスへのトラフィックのフローとインスタンスからのトラフィック のフローをそれぞれ制御 します。

AWS セキュリティグループの仕組み

AWS セキュリティグループは、EC2 マシンへのトラフィックの許可方法を制御することで、クラウド環境を保護するのに役立ちます。 セキュリティグループを使用すると、インスタンスレベルで流れるすべてのトラフィックが、確立されたポートとプロトコルのみを経由するようにすることができます。

Amazon EC2 でインスタンスを起動するときは、インスタンスを特定のセキュリティグループに割り当てる必要があります。 各セキュリティグループにルールを追加して、指定されたサービスとの間のトラフィック(関連するインスタンスを含む)を許可することができます。

ホワイトリストと同様に、セキュリティグループのルールは常に制限されています。 アクセスを拒否するルールを作成することはできません。 たとえば、Elastic Load Balancer (ELB) から Web サーバーを含むサブネットへのトラフィックがあるとします。 AWS Security Group は、その ELB を唯一の許可されたソースとしてリストできます。

セキュリティグループはステートフルであるため、インバウンドリクエストが合格すると、アウトバウンドリクエストも合格します。

複数の AWS セキュリティグループの使用

EC2 インスタンスごとに 1 つ以上のセキュリティグループを指定でき、ネットワークインターフェイスごとに最大 5 つまで指定できます。 さらに、VPC 内のサブネット内の各インスタンスを、異なるセキュリティグループのセットに割り当てることができます。 トラフィックがインスタンスに到達することを許可する場合、Amazon EC2 は、関連付けられているすべてのセキュリティグループのすべてのルールを評価します。

ルールを追加または変更すると、セキュリティグループに関連付けられているすべてのインスタンスに自動的に適用されます。

CloudGuardなどのツールを使用すると、インフラストラクチャレベル(VPC、セキュリティグループ、EC2およびRDSインスタンス、Amazon S3バケット、Elastic Load Balancerなど)でクラウドセキュリティ体制を可視化し、構成のずれをインタラクティブに検出できます。

セキュリティグループとネットワーク ACL

ネットワーク アクセス制御リスト (NACL) は、1 つ以上のサブネットに出入りするトラフィックを制御するための追加の方法です。 AWS セキュリティグループとは異なり、NACL はステートレスであるため、インバウンドルールとアウトバウンドルールの両方が評価されます。 ネットワーク ACL は、VPC に対するオプションの追加セキュリティレイヤーとして設定できます。

AWS セキュリティグループの新機能

AWS Firewall Manager を使用すると、AWS アカウントとアプリケーション全体でファイアウォールルールを一元的に設定および管理できます。 2020 年 7 月 8 日、 AWS ファイアウォール マネージャーは、「顧客が VPC セキュリティグループを監査し、中央管理者アカウントからコンプライアンス違反の詳細なレポートを取得するのに役立つ新しい事前構成ルール」をリリースしました。 この機能により、お客様はセキュリティグループを一元的に監査することが容易になり、「カスタム監査チェックを手動で構成する手間が省けます」。

チェック・ポイントのAWSセキュリティ・ソリューション

他のポイントソリューションと同様に、AWS セキュリティグループは、ほとんどの組織のすべてのセキュリティ要件を満たしている可能性は低いです。 任意のインスタンスで独自のファイアウォールを維持できます。

Checkpoint CloudGuardプラットフォームは、Amazon AWS環境向けのクラウドネイティブなセキュリティソリューションです。 CloudGuard Cloud Network Securityは、クラウド環境とオンプレミス環境を統合管理することで、高度な脅威対策と自動化されたネットワークセキュリティを提供します。 また、CloudGuardは、パブリッククラウドにおけるセキュリティ体制(CSPM)、コンプライアンスの自動化、侵入検知の可視化と管理を提供するセキュリティオーケストレーションプラットフォームとしても拡張されます。

CloudGuardは、Amazon Security Hubとの ネイティブAPI統合 により、統合されたセキュリティコンソールから組織のクラウドセキュリティと コンプライアンス体制 の脆弱性の可視性を強化します。

CloudGuard クラウド Network Securityは、サイバー攻撃やネットワークの脆弱性を積極的に防止し、これらの脅威アラートをAWS Security Hubコンソールにフィードします。 この継続的な脅威対策は、プラットフォームのネイティブファイアウォール、IPS、アプリケーション制御、 IPSec VPN、ウイルス対策、およびアンチの両方機能によって推進されます。

CloudGuardを通じて提供されるクラウドセキュリティポスチャー管理は、インフラストラクチャレベル(VPC、セキュリティグループ、EC2およびRDSインスタンス、Amazon S3バケット、Elastic Load Balancerなど)でクラウドセキュリティポスチャーを可視化するのに役立ちます。CloudGuardを使用すると、構成のずれをインタラクティブに検出し、新しい脆弱性の影響を評価し、ファイアウォールルールの設定ミスを迅速に特定できます。