Professional Documents
Culture Documents
WP Aws Reference Architecture
WP Aws Reference Architecture
目次
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
責任共有モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
AWS の主な概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
リージョンとアベイラビリティゾーン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
VPC(仮想プライベートクラウド). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
サブネット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
ネットワーク ACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
セキュリティグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
ルートテーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
インターネットゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
NAT ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Elastic ネットワークインタフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
AWS VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
仮想プライベートゲートウェイ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
カスタマーゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
FortiManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
ライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
2
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
目次
サポートされるインスタンスタイプ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
ダイナミックアドレスオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
例:動的アドレスオブジェクトを使用した
ファイアウォールポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
インバウンドトラフィックのインスペクション(垂直方向). . . . . . . . . . .15
アウトバウンドトラフィックのインスペクション(垂直方向). . . . . . . . .16
トラフィックインスペクション(水平方向). . . . . . . . . . . . . . . . . . . . . . . .17
オンプレミスネットワークへのアウトバウンド接続における耐障害性. . . . .18
アウトバウンドトラフィックの耐障害性 -
アクティブ / アクティブフェイルオーバー. . . . . . . . . . . . . . . . . . . . . . . . . . .21
設計パターン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
FortiGate オートスケーリングによる柔軟なロードバランシングの
サンドイッチ構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
3
概要
パブリッククラウド(クラウド)は、広く普及しているクラウドコンピューティングモデルです。クラウドサービスプロバイダーは、インフラス
トラクチャやストレージ、サーバーといったリソースをインターネット経由で企業に提供します。共有される物理ハードウェアは、サードパーティ
のプロバイダー側が所有して運用を担い、企業は必要に応じて使用します。このようなマルチテナント環境は、インフラストラクチャのコストを
複数ユーザー間で分散できます。世界中の企業はクラウドの導入によって次のようなメリットを得ています。
コスト効率:クラウドインフラストラクチャを使用することで機器の購入と保守にかける多大なコストが不要になり、CapEx(設備投資)を大幅
に削減できます。ハードウェア、設備、ユーティリティに要するリソースと時間を節約でき、ビジネス成長のために大規模データセンターを保持
する必要がなくなります。
拡張性:帯域幅が増大し変動する企業にとってクラウドの使用は理想的なソリューションです。需要の増大に応じてクラウドキャパシティを容易
に拡張できるため、物理インフラストラクチャに投資する必要はありません。このような俊敏性は、重要な競争力の 1 つです。
災害復旧:データ損失は、どの組織にとっても重要な課題です。ラップトップや PC といった機器が破損しても、顧客データをクラウドに格納し
ておけば、常にデータを取り出すことができます。クラウドベースのサービスは、
自然災害や停電などの緊急時の迅速なデータ復旧を可能にします。
俊敏性の向上:今日、企業の生産性を向上するには動的な態勢が必要です。プロセス、ツール、テクノロジー、ポリシーを常に進化させ、改善し
なければなりません。企業の俊敏性は、迅速な意思決定、優先順位付け、顧客満足の向上につながります。クラウドの活用によって、より良いデ
リバリ、コラボレーション、新たなビジネスイニシアティブの展開を加速することができます。
責任共有モデル
クラウドプロバイダーはクラウドのセキュリティを管理しますが、クラウドでのセキュリティ対策はユーザーが責任を負います。コンテンツとア
プリケーションの保護に使用するセキュリティ機能は、ユーザーが管理します。
ユーザーのアプリケーション、コンテンツ
データのセキュリティ
アプリケーション
セキュアな接続
可視化と制御
ユーザー:
ネットワーク インベントリと
クラウド「内」の
セキュリティ 構成
セキュリティを管理
/ データの
アクセス制御
セキュリティ
クラウドプロバイダー:
クラウド基盤 クラウド「の」
サービス セキュリティを管理
データベース ストレージ ネットワーク コンピュート
図 1:責任共有モデル
4
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
クラウドプロバイダーは、ホストオペレーティングシステムや仮想化レイヤーからサービスを
運用する設備の物理的なセキュリティに至るまで、あらゆるコンポーネントの運用、管理、制 専門用語の解説
御を担います。その一方で、データの所有権と制御はユーザーにあり、ユーザーは、環境内の
n アベイラビリティゾーン:1 つま
基本的なセキュリティの設定と導入の責任を負います。
たは複数のデータセンター。電源、
Amazon Web Services(AWS)は、企業がアプリケーションの実行に使用するクラウドコン ネットワーキング、接続性が冗長
ピューティングサービスを提供する最大手のプロバイダーの 1 つです。フォーティネット 化され、分散した設備に設置され
FortiGate NGFW(次世代ファイアウォール)は、AWS 上での使用において、優れた自動化機 る。
能によって企業が高度なサイバー攻撃に対抗できるよう支援します。
n AWS リージョン:複数のアベイラ
次のセクションでは、本設計ガイドに関連する AWS の主な構成要素を説明します。 ビリティゾーンが設置されている
物理的なロケーション
AWS の主な概念
本書の主な目的は、AWS のセキュアなアーキテクチャの設計原則とガイドラインを説明するこ
とにあるため、AWS の概念と主な AWS サービスに関する知識は、本書で解説する設計トピッ
クを理解する上での前提条件となります。
リージョンとアベイラビリティゾーン
Amazon リージョンは、それぞれが完全に分離されています。これにより、最高レベルの対障害
性と安定性が実現されます。アベイラビリティゾーンは独立していますが、同じリージョン内
のアベイラビリティゾーン間は低レイテンシのリンクで相互接続されています。AWS では、イン
スタンスやデータの配置に非常に柔軟に対応します。各 AWS リージョン内の複数のアベイラビリティゾーンのみならず、複数の地理的に離れた
場所への配置や格納が可能です。アベイラビリティゾーンは、それぞれが独立した障害ゾーンとして設計され、標準的な都市部の、物理的に隔離
された、冠水リスクの低い場所に設置されています。2019 年 3 月時点で、AWS クラウドは世界中で 20 のリージョン内に 61 のアベイラビリティ
ゾーンを展開しており、さらに 12 のアベイラビリティゾーンと 4 つのリージョンの追加を計画しています 1。
AWS Cloud
Availability Availability
Zone Zone
ク
ク
ン
ン
リ
リ
シ
シ
ン
ン
テ
テ
イ
イ
レ
レ
低
図 2:AWS リージョンとアベイラビリティゾーン
5
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
アベイラビリティゾーンの耐障害性と分離機能を活用するには、アプリケーションとセキュリ
ティサービスを分散し、複数のアベイラビリティゾーンで保護する必要があります。 技術的なヒント 1
サブネット
n 10.0.0.0: ネットワークアドレス
n 10.0.0.255: ネットワークブロードキャストアドレス
6
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
ネットワーク ACL
ネットワーク ACL(アクセス制御リスト)は、VPC のオプションとして使用できるセキュリティ ネットワーク ACL の使用に必要な知識
レイヤーで、L4 ステートレスファイアウォールとして 1 つまたは複数のサブネットのインバウン
n VPC に は、 す べ て デ フ ォ ル ト の
ド / アウトバウンドトラフィックを制御します。VPC ではサブネット間ルーティングをデフォ
NACL が付属します。この NACL は、
ルトで使用できるため、ネットワーク ACL を使用することで、サブネットが VPC 内の他のサブ
インバウンドとアウトバウンドの
ネットにアクセスする操作を禁止できます。
IPv4 トラフィックをすべてサポー
トします。
セキュリティグループ
セキュリティグループは、インスタンスの仮想レイヤー 4 ファイアウォールとして機能し、イン n ネットワーク ACL には、番号付きの
バウンド / アウトバウンドトラフィックを制御します。セキュリティグループは、インスタンス ルールリストが指定されています。
のネットワークインタフェースで適用されます。したがって、サブネット内のインスタンスを、 番号の小さいルールから順に評価を
それぞれ別のセキュリティグループに割り当てることが可能です。AWS では、デフォルトで、ネッ 行い、ネットワーク ACL に関連する
トワークインタフェースに最大 5 つのセキュリティグループを割り当てることができます。 サブネットのトラフィック送受信を許
カスタムルートテーブル:メインルートテーブル以外に、ユーザーが追加できるルートテーブ n「許可」ルールの適用は可能ですが、
ルです。サブネットとカスタムルートテーブルを関連付けることで、サブネットルートのアウ 「拒否」ルールは適用できません。
トバウンドトラフィックを個別に明示的に制御できます。
n インバウンドトラフィックとアウ
すべての Amazon VPC ルートテーブルには、デフォルトでローカルルートエントリーが付属し トバウンドトラフィックには別の
ますが、このエントリーを詳細なルートプレフィックスで上書きすることはできません。この ルールを指定できます。
ルートエントリーにより、すべてのインスタンスに、VPC 内の他のインスタンスへのルートが
n「許可」ルールは、すべてセキュリ
提供されます。ただし、詳細なプレフィックスルールがないため、サブネット内トラフィック
ティグループに明示的に追加する
とサブネット間トラフィックをネットワークセキュリティアプライアンスへとネイティブステ
必要があります。追加しない場合、
アリングすることはできません。
デフォルトの AWS アクションが適
図 3 は、VPC のメインルートテーブルと、プライベートサブネットに関連付けられているカス 用され、すべてのトラフィックを
タムルートテーブルを示しています。いずれのルートテーブルにもローカルルートエントリー ブロックします。
があり、削除できません。
n セキュリティグループはステート
インターネット フルです。インスタンスからリク
エストが送信されると、関連する
AWS Cloud
セキュリティグループのインバ
インターネットゲートウェイ
ウンドルールに関係なく、リクエ
パブリックサブネット ルーター ストに対する応答トラフィックは
ルートテーブル - パブリックサブネット
許可されます(逆も同様)。
宛先 ターゲット
n 別のホストからインスタンスへの
NAT ゲートウェイ
デフォルトではインバウンドルー
ルが作成されないためです。
データベースサーバー
Availability Zone 1
7
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
インターネットゲートウェイ
NAT の作成後、プライベートサブネットに関連付けられたルートテーブルを更新し、インター
ネット行きのトラフィックを NAT ゲートウェイへとポイントする必要があります。これにより、
プライベートサブネット内のインスタンスはインターネットと通信できるようになります。た
とえば、プライベートサブネットに関連付けられたルートテーブル(図 3)には、NAT ゲートウェ
イをターゲットとするデフォルトルートのルートエントリーが含まれています。このルートに
より、インターネット行きのトラフィックはすべて NAT ゲートウェイ経由でルーティングされ
ます。
Elastic ネットワークインタフェース
ENI(Elastic ネットワークインタフェース)とは、VPC(仮想ネットワークカード)内の論理
的なネットワーキングコンポーネントで、仮想のネットワークカードとなります。ユーザーは、
アカウントでネットワークインタフェースを作成および構成し、それを VPC 内のインスタンス
にアタッチできます。ENI は、複数の属性を持っています。
インスタンスを起動すると、1 つ以上のネットワークインタフェースが提供されます。このプラ
イマリインタフェースは、切断できません。ENI と ENI が接続されているインタフェースが同
じアベイラビリティゾーン内にある限り、
これ以外の ENI をすべてインスタンスからデタッチし、
別のインスタンスにアタッチすることが可能です。
8
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
インターネット
技術的なヒント 2
仮想プライベートゲートウェイの作成
パブリックサブネット
時に ASN を指定しない場合、AWS は
デフォルトで ASN 64512 を割り当て
ます。
ルートテーブル - プライベートサブネット
宛先 ターゲット
サーバー
プライベートサブネット
図 4:送信元 / 宛先チェックを有効にした場合のトラフィック転送
インターネット
パブリックサブネット
ルートテーブル - プライベートサブネット
宛先 ターゲット
サーバー
プライベートサブネット
図 5:送信元 / 宛先チェックを無効にした場合のトラフィック転送
AWS VPN
仮想プライベートゲートウェイ
9
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
BGP を介してリモートルートを学習した後、ルートテーブルに自動追加する方法があります。
たとえば、図 6 のルートテーブルの場合、10.17.0.0/16 へのルートは動的に学習し、追加されます。 技術的なヒント 3
カスタマーゲートウェイ ティングはサポートしません。
カスタマーゲートウェイとは、ユーザーのデータセンターで稼働する物理アプライアンスまた
はソフトウェアアプリケーションを指します。AWS では、VPN 接続を確立する前に、AWS ア
技術的なヒント 4
カウントでカスタマーゲートウェイオブジェクトを作成する必要があります。カスタマーゲー
トウェイでは、VPN 接続の作成に使用する、パブリックなルーティングが可能な IP アドレスが
必要です。カスタマーゲートウェイデバイスの作成には、ネットワークに割り当てられている IPsec トンネルを確立するには、ユー
パブリックサブネット
IPSecトンネル
ルートテーブル - プライベートサブネット
プライベートサブネット
Transit gateway
最近まで、VPC の相互接続を行うための選択肢には制限がありました。ポイント間ピアリング
を作成して各 VPC でネットワーキングを管理することは可能ですが、非常に複雑になってしま
います。また、共有 VPC において、各 VPC からサードパーティルーター / ファイアウォールア
プライアンスへの IPsec トンネルを作成することも可能です。このハブ & スポークトポロジを、
Transit VPC を呼びます。
10
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
Availability Zone 1
n そ れ ぞ れ の Transit Gateway は、1
つのルートテーブルに割り当てら
プライベートサブネット れています。
Availability Zone 2
Transit GW
アタッチメント
プライベートサブネット
n 各ルートテーブルに関連付けるア
アカウント 1 タッチの数は、ゼロから複数です。
n VPC 内のアベイラビリティゾーン
AWS Cloud
宛先 ターゲット アクティブ 伝搬
に割り当て可能な Transit Gateway
ルートテーブル -
プライベートサブネット
のアタッチは、1 つのみです。
プライベートサブネット
Availability Zone 1
n VPC ま た は VPN 接 続 は、Transit
アカウント 2 Gateway の ル ー ト テ ー ブ ル へ と
ルートを動的に伝搬します。
図 7:AWS Transit Gateway のアーキテクチャ
トップクラスの脅威データベース、脆弱性管理、フローベースのインスペクションといった高
度な機能に加えて、アプリケーション制御、ウイルス対策、IPS、Web フィルター、VPN をは
じめとする機能が連携し、最新の複雑なセキュリティ脅威を特定および軽減します。
11
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
FortiManager
FortiGuard セキュリティサービス
AWS における FortiGate-VM の
FortiGuard Labs は、脅威の最新状況に関するリアルタイムの情報を駆使して、フォーティネッ
メリット
トのさまざまなソリューション向けに包括的なセキュリティアップデートを提供します。セキュ
リティに対する脅威の研究者、エンジニア、犯罪科学のスペシャリストで構成されるチームが、 n FortiGuard Labs セキュリティサー
脅威の監視を手掛ける世界有数の機関やネットワーク / セキュリティ分野を代表するベンダー、 ビスによって継続的に提供される
世界各国の捜査機関と協力して、優れたサービスをお届けします。 脅威インテリジェンスを使用して、
既知のエクスプロイトとマルウェ
アから保護
ライセンス
12
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
表 2:FortiGate-VM モデル(BYOL)
パブリックサブネット プライベートサブネット
図 8:FortiGate-VM on AWS
FortiGate の初回起動でのブートストラップ
{
“"bucket”:“unique-bucket-name”,
“region”:“us-west-2”,
“license”:“/FGVM020000000000.lic”,
“config”:“/fgtconfig-init.txt”,
}
13
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
フォーティネット ファブリックコネクタ
ダイナミックアドレスオブジェクト
オブジェクトの形式や場所がエラスティックで常に変化する場合でも、FortiGate は、送信元 /
宛先として使用可能なアドレスオブジェクトとして識別します。適切なファイアウォールポリ
シーを自動的に適用するため、管理者による手作業の操作は必要ありません。
FortiManager は、 オ プ シ ョ ン の コ ン ポ ー ネ ン ト で す。 こ の セ ク シ ョ ン で は、 ユ ー ザ ー は
FortiGate を直接使用して、アドレスオブジェクトとファイアウォールポリシーを設定すること
を前提とします。
ファブリック コネクタ
新
定 更
の
義 クト
の
伝 ジェ
搬 ブ
オ
動的
オブジェクト
14
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
例:動的アドレスオブジェクトを使用したファイアウォールポリシーの作成
インターネット AWS 用
Fortinet ファブリック コネクタ
パブリックサブネット
動的
アドレスオブジェクト
宛先 ターゲット
動的アドレス
オブジェクト - 更新
プライベートサブネット
図 10:動的アドレスオブジェクトを使用してファイアウォールポリシーを作成
インバウンドトラフィックのインスペクション(垂直方向)
15
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
インターネット
パブリックサブネット
ルートテーブル - プライベートサブネット
宛先 ターゲット
Web
サーバー
プライベートサブネット
図 11:FortiGate-VM によるインバウンドトラフィックインスペクション
図 11 は、受信トラフィックのパケットフローとリターントラフィックのパスを示しています。
リターントラフィック:Web サーバーから戻ってくるトラフィックは、プライベートサブネットのルートテーブルに従います。ここには、すべて
のインターネット行きトラフィックを FortiGate へとポイントするルートエントリーが含まれています。図 11 で示すように、FortiGate と IGW は
いずれも送信元 NAT をリターントラフィックに適用し、送信元 IP をパブリックルーティング可能な IP アドレス(FortiGate NGFW の ENI-0)に
関連付けられた EIP)へと変更します。
アウトバウンドトラフィックのインスペクション(垂直方向)
16
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
インターネット
パブリックサブネット
ルートテーブル - プライベートサブネット
宛先 ターゲット
Web
サーバー
プライベートサブネット
図 12:FortiGate-VM によるアウトバウンドトラフィックインスペクション
トラフィックインスペクション(水平方向)
17
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
オンプレミスネットワークへのアウトバウンド接続における耐障害性
クラウドにワークロードを移行する企業が急増する一方で、その多くはオンプレミスにも多くのワークロードを残すことを考えています。高スルー
プット FortiGate NGFW を、AWS VPC 内の VPN ゲートウェイとして導入し、VPN トンネルを確立することで、クラウドワークロードを物理的なデー
タセンターへと戻すことができます。図 13 で示すように、ペアで導入することで物理データセンターへのアウトバウンド接続の耐障害性を実現
できます。
ルートテーブル プライベートサブネット
― Availability Zone 1
AWS Cloud
宛先 ターゲット
Availability Zone 1
パブリックサブネット
プライベートサブネット
データセンター / 支社 Web
サーバー
パブリックサブネット プライベートサブネット
インターネット
Web
サーバー
ルートテーブル プライベートサブネット
― Availability Zone 2
宛先 ターゲット
Availability Zone 2
図 13:物理データセンターのアウトバウンド接続で耐障害性を実現
18
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
AWS Cloud
n 2 つの FortiGate NGFW。それぞれ
が 4 つのネットワークインタフェー
セカンダリ IP:
スを持つ
パブリックサブネット(データ) パブリックサブネット(管理)
セカンダリ IP:
n 2 つの専用 ENI。1 つはパブリック
イ ン タ フ ェ ー ス 用(ENI0\port1)、
宛先 ターゲット
もう 1 つはプライベートインタ
セカンダリ IP:
フェース用(ENI1\port2)です。こ
セカンダリ IP:
の ENI は、セカンダリ IP アドレス
プライベートサブネット(データ) プライベートサブネット(ハートビート)
を使用します。これによって、両
方の FortiGate インスタンスが、実
Availability Zone 1
際の FortiOS 構成 / 同期セッション
n FGCP HA 通 信 専 用 の ENI(ENI2\
AWS Cloud
port3)。ハートビートチェック、構
成の同期、セッションの同期といっ
たタスクを実行
セカンダリ IP:
n 各インスタンスへの管理アクセス
パブリックサブネット(データ) パブリックサブネット(管理)
を行う専用 ENI(ENI3\ port4)。ま
た、これによって各インスタンス
セカンダリ IP:
n AWS IAM ロ ー ル。 こ の ロ ー ル を
セカンダリ IP:
プライベートサブネット(データ) プライベートサブネット(ハートビート)
引 き 継 ぐ こ と で、FortiOS は AWS
Availability Zone 1
EC2 API へのアクセスを承認され、
ルートテーブルの更新やクラス
タ EIP の再割り当てといったアク
図 15:AWS での FortiGate FGCP のフェイルオーバープロセス
ションを実行できるようになりま
す。
アクティブ / パッシブ環境の耐障害性 - 2 つのアベイラビリティゾーン
従来の物理的なデータセンターのように、完全なセッション同期機能を備えた HA ソリュー
ションを求める AWS ユーザーがいる一方で、多くのユーザーは、耐障害性(複数の AZ)を
備えた環境の整備により、可用性に優れたセキュリティサービスを実現しようとしています。
フォーティネットは、Lambda ベース、デュアル AZ、アクティブ / パッシブフェイルオーバー
を特徴とするソリューションを提供しています(詳細はこちら 2 をご覧ください)。このソリュー
ションは、TCP ヘルスチェックによって AWS EIP とルートテーブルを自動更新し、2 つの異な
るアベイラビリティゾーンにある 2 つの異なる FortiGate インスタンスで送受信トラフィックの
「AWS-CloudFormationTemplates/Templates/LambdaAP-EIP+RouteFailover/6.0/」GitHub(英語):
2
https://github.com/fortinet/aws-cloudformation-templates/tree/master/LambdaAP-EIP%2BRouteFailover/6.0
19
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
Lambda Function:TCP ヘルスチェックと AWS VPC ネットワーキングの更新には、1 つの Lambda Function が使用されます。この Lambda
Function は、両方のインスタンスについて、ENI1 のプライマリ IP の TCP ヘルスチェックを、アクティブインスタンスから実行します。
Region
パブリックサブネット パブリックサブネット
宛先 ターゲット 宛先 ターゲット
プライベートサブネット プライベートサブネット
「AWS-CloudFormationTemplates/Templates/LambdaAP-EIP+RouteFailover/6.0/」GitHub(英語):
3
https://github.com/fortinet/aws-cloudformation-templates/tree/master/LambdaAP-EIP%2BRouteFailover/6.0
20
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
Region
アクティブ / アクティブな
パブリックサブネット パブリックサブネット
アウトバウンドトラフィックの
プライマリ IP: プライマリ IP:
コンポーネント
セカンダリ IP:
n FortiGate インスタンス
セカンダリ IP:
n Lambda Function
プライマリ IP: プライマリ IP:
n CloudWatch イベントルール
宛先 ターゲット 宛先 ターゲット
n API Gateway
プライベートサブネット プライベートサブネット
n VPC エンドポイント
アクティブ / パッシブ構成は耐障害性に優れたアーキテクチャではありますが、稼働できる
FortiGate インスタンスは 1 つに限定されます。アクティブ / アクティブ FortiGate フェイルオー
バー(図 18)では、AWS ルートテーブルを自動更新することで、異なるアベイラビリティゾーン
にある 2 つの独立した FortiGate インスタンスで送信トラフィックフローを処理します。いずれ
の FortiGate インスタンスも同時に稼働し、トラフィックを処理します。ただし、このソリュー
ションで実現できるのは、VPC から出て行くアウトバウンドトラフィックの耐障害性のみです。
インバウンドトラフィックの耐障害性を実現するには、AWS ELB や Route 53 サービスといっ
た外部リソースを利用できます。インバウンドトラフィックを対象にしたファイアウォールの
耐障害性については、本書の「設計パターン」のセクションをご覧ください。
Region
パブリックサブネット パブリックサブネット
宛先 ターゲット 宛先 ターゲット
プライベートサブネット プライベートサブネット
21
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
Region
パブリックサブネット パブリックサブネット
宛先 ターゲット 宛先 ターゲット
プライベートサブネット プライベートサブネット
「AWS-CloudFormationTemplates/Templates/LambdaAA-RouteFailover/6.0/」GitHub(英語):
4
https://github.com/fortinet/aws-cloudformation-templates/tree/master/LambdaAA-RouteFailover/6.0
22
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
設計パターン
本書の前のセクションでは、AWS の主な概念と FortiGate の導入モデルについて詳しく説明し この設計の主なコンポーネント
ました。このセクションでは、さまざまな AWS サービスと設計パターンを使用して、物理的な n AWS ベストプラクティスに従って、
データセンターの一部または全部を AWS 環境へと移行するユーザーを対象に、拡張性に優れた パブリック / プライベートサブネッ
自動セキュリティソリューションを提供する方法を説明します。インフラストラクチャのセキュ トで構成された VPC。この環境で
リティ設計では、次の内容を検討する必要があります。 は、2 つのアベイラビリティゾーン
パブリックサブネット パブリックサブネット
ネットワーク
ロードバランサー n Amazon DynamoDB データベース。
FortiGate FortiGate フォーティネットが提供するスク
ゲートウェイ ゲートウェイ
オートスケーリング
グループ
リプトを使用して、自動スケーリン
グの条件ステートに関する情報を
プライベートサブネット
格納します。
プライベートサブネット
内部向け
23
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
多彩なルーティング機能と強力なアプリケーションセキュリティ機能を備えた AWS 上の
FortiGate-VM は、優れたセキュリティ、高スループット、自動化を特徴とする Transit VPC 環境
を実現します。VPC 間通信とオンプレミスデータセンターへの接続に対応します。
図 21:Transit VPC
24
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
仮想プライベートゲートウェイポーラーが仮想プライベートゲートウェイをチェックする処理では、CloudFormation テンプレートで指定されたタ
グを検索し、Transit VPC アカウント内の仮想プライベートゲートウェイをチェックします。“transitvpc:spoke=true”タグのペアを持つ VGW が見
つかると、Fortinet Configurator の Lambda Function は VPN 接続を定義し、FortiGate 構成をプッシュして IPsec トンネルを作成します。Lambda
Poller Function は CloudFormation で指定された S3 バケットにファイルを作成し、構成すべき内容をコンフィギュレーターに通知します。VPN 接
続に関連付けられたパラメータと構成は、すべて S3 バケットに保存されます。PUT S3 バケットイベントは、もう 1 つの Lambda Function(Fortinet
Configurator)をトリガーします。図 22 は、Fortinet Transit VPC アーキテクチャを示しています。
キー:
値:
宛先 ターゲット アクティブ 伝搬
インターネット
オンプレミスの
企業 DC
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/dg-fortigate-transit-vpc.pdf
25
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
インバウンドアプリケーショントラフィックでファイアウォール耐障害性を実現:VPC 内のプライベートサブネットにアプリケーションを導入す
る方法は、パブリック IP アドレスを必要としないという点で、多くのユーザーに好まれる方法です。ただし、外部からの攻撃からアプリケーション
を保護する必要があります。フォーティネットのクラウドサービスハブは、AWS Transit Gateway と統合することで、プライベート VPC に Web
アプリケーションを導入できる利便性があり、耐障害性に優れた FortiGate NGFW をパブリック VPC で実装することによってアプリケーションを
保護できます。図 23 では、2 つの FortiGate NGFW の前面に、インターネットに面している AWS Load Balancer があります。バックエンドサー
ビスが、Transit Gateway に接続された 2 つのスポーク VPC に実装されています。
インターネット
AWS Cloud
パブリックサブネット パブリックサブネット
Transit Gateway
アタッチメント
プライベートサブネット プライベートサブネット
水平方向のトラフィックインスペクション:ゼロトラストのセキュリティ導入戦略は小規模から大規模な企業に採用されていますが、この戦略で
は、すべてのトラフィックを検査することが極めて重要になります。最近の調査によると、クラウドトラフィックの大半が環境内を水平方向に移
動します。
フォーティネットのクラウドサービスハブは、すべてのトラフィックを調査することで、脅威の水平移動を阻止します。その 1 つの方法が、
Transit Gateway サービスを使用して AWS Transit Gateway にルートテーブルを複数作成する方法です。このアプローチでは、FortiGate の高度な
セキュリティ機能で、VPC 間トラフィックの一部またはすべてを調査できます(さらに、セキュリティファブリック全体に導入されているその他
のセキュリティソリューションを使用)。インスペクションの対象となるトラフィックはすべて、フォーティネットのクラウドサービスハブに導
入されている FortiGate ソリューションに送信されます。
26
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
企業のデータセンター /
Spoke(VPC-B)ルートテーブル 支社
宛先 ターゲット
FortiGate に戻るルート
– NAT プール
SNAT を適用して
フローアフィニティを保証
VPN アタッチメント
クラウドサービスハブ
まとめ
クラウドを導入する組織が増加する今、クラウドジャーニーの早い段階で要件に適したセキュリティアーキテクチャを設計することが極めて重要
になっています。AWS におけるフォーティネット FortiGate-VM は、さまざまな構成と設計モデルをサポートし、AWS ユーザーが求める拡張性、
可用性、耐障害性の要件を満たします。さらに、ネイティブ AWS サービスや自動化フレームワークとの統合により、FortiGate NGFW は動的な拡
張性を自動的に実現し、トラフィックの変動にも対応します。フォーティネットのセキュリティファブリックコネクタは AWS とネイティブに統
合することで、FortiGate インスタンス全体の管理やファイアウォールポリシーの適用を自動化します。
27
WHITE PAPER | Amazon Web Services(AWS)リファレンスアーキテクチャ
〒106-0032
東京都港区六本木 7-7-7
Tri-Seven Roppongi 9 階
www.fortinet.com/jp/contact
WP-AWS-Reference-Architecture-202001-R1