サードパーティーやオープンソースも検討せよ企業用途には物足りない、AWSのセキュリティ――ビルトインファイアウォール

Amazon Web Services（AWS）のファイアウォールは機能が限られており、最新の企業向けファイアウォールには遠く及ばない。強固なセキュリティを確保するには、サードパーティーやオープンソースの選択肢を検討する必要がある。

[Dave Shackleford，TechTarget]

　ネットワークセキュリティの中核を担うファイアウォールは、企業が直面する脅威の変化に対応して機能や性能の向上が頻繁に行われている。新しいファイアウォールは、ネットワークトラフィックの挙動やプロトコル、アプリケーションレイヤーデータを分析できる。

　しかし、企業は米Amazon Web Servicesのクラウド「Amazon Web Services」（AWS）にリソースを移行すると、利用できるファイアウォールオプションの数や種類が限られることに気付くはずだ。本稿では、AWSのビルトインファイアウォールの他、クラウドのネットワークセキュリティを確保するためのサードパーティーやオープンソースの選択肢を見ていく。

クラウドのファイアウォールに関する記事

• 普及期突入で浮かび上がる「次世代ファイアウォール」導入の課題
• 読めば分かる！　次世代ファイアウォール
• パブリックとプライベートのいいとこ取りをした「仮想プライベートクラウド」

AWSファイアウォール

　AWSのビルトインファイアウォールは、セキュリティの専門家にとってはかなり物足りない。例えば、Amazon EC2内でファイアウォールルールを作成するには、「セキュリティグループ」を作成する。セキュリティグループとは、EC2インスタンスに適用可能なファイアウォールルールセットを表すのだが、企業は各セキュリティグループにインバウンドルールしか設定できない。

　Amazon Virtual Private Cloud（VPC）サービスを利用していれば、インバウンドとアウトバウンドの両方のルールを作成できるが、これは高くつく。VPCサービスは料金が高いからだ。

　検査に関しては、IPオプションが設定されたパケットを全てフィルタリングし、パケットの基本的なフラグメンテーションを処理し（ただし、攻撃者が侵入検知システムを妨害するためにしばしば作成する特殊なフラグメントは許可する）、単純なステートフルフィルタリングを行う。

　しかし、AWSファイアウォールのどのルールでもロギングは利用できない。これは大きな欠点だ。ほとんどのネットワークチームやセキュリティチームは、侵入検知や分析のためにログを欲しがるからだ。ログは単体で、あるいはセキュリティイベント管理ツールで使われる。

　AWSファイアウォールは、一部の利用シナリオでは十分と考えられるかもしれない。だが、セキュリティの専門家は、AWSネットワークの他のセキュリティオプションを選択するだろう。

AWSに関する記事

• AWSが2010〜2012年に増強したエンタープライズ向け機能を一挙紹介
• AWSとEucalyptusの提携が意味するパブリック／プライベートの統合
• AWSとWindows Azureのパフォーマンスを管理するには

クラウド ナビ

• AWS（Amazon Web Services）

サードパーティーのAWS用ファイアウォール

　AWSと統合できるサードパーティーのネットワークファイアウォールはほとんどないが、イスラエルのセキュリティベンダー、Check Pointは「Check Point Security Gateway R75」をAWS Marketplaceと統合している。これは、VPC環境をセットアップしようとしている企業が、新しい仮想Check Pointファイアウォールを作成し、自社のプライベートクラウドと統合できることを意味する。