AWS Network FirewallのIPSルールとNetwork Securityの比較
公開日
2022年5月18日
こんにちは。AWSさまとのアライアンスを担当している藤田です。
2020年12月末、AWS Network FirewallにトレンドマイクロのIPSルールが採用された件に関してニュースリリースを発表しました。
ニュースリリース:AWS Network FirewallがトレンドマイクロのIPSルールを採用
本記事ではAWS Network FirewallにおけるIPSルールの採用と、クラウド環境のネットワークレイヤを保護するTrend Micro Cloud One – Network Security™(以下、Cloud One - Network Security)についてご説明します。
AWS Network FirewallにおけるIPSルールの採用
AWS Network Firewallは、Amazon Virtual Private Cloud (VPC)に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。
また、既存のサードパーティ製セキュリティ製品との相互運用が可能であり、トレンドマイクロのIPSルールも先ほどのニュースリリースの通り、採用されています。
※対象リージョン:us-east-1, us-west-2, ap-southeast-2 and eu-west-1(2022年5月時点では東京リージョンと大阪リージョンは含まれませんのでご注意ください。)
AWS Network Firewallに組み込まれるトレンドマイクロのIPSルールは、悪意のあるトラフィックを検査し、脅威が仮想プライベートクラウドに侵入する前にAWS Network Firewallでブロックします。
AWS Network Firewallに適用されるトレンドマイクロのIPSルールは無償で提供され、週次で自動更新されます。
また、サポート範囲はあくまでIPSルールの配信に限定されますが、ご利用のお客さまはトレンドマイクロのスタンダードサポートをご利用いただけます。
参考:トレンドマイクロ サポートセンターはこちら
AWS Network Firewallに適用されるトレンドマイクロのIPSルールの利用方法
トレンドマイクロのIPSルールをご利用いただくためには、Trend Micro Cloud One™(以下、Cloud One)の管理コンソールにアクセスする必要があります。
Cloud Oneの管理コンソールからAWSアカウントのルールを有効にし、AWS アカウント IDを有効にするとルールが共有されます。ルールを共有する手順を以下にまとめました。
① Cloud Oneコンソール(コンソールURLはこちら)にログイン後、下記メニューから「Network Security」をクリック
② 画面左のメニューから、Policy > Sync Management と進む
③ 下記画面から、項目AWS Network Firewallにおいて「Configure Sharing」をクリック
④ 下記画面が表示されるので、AWS Network FirewallがデプロイされているAWSのアカウントIDを入力し、確認項目にチェックを入れ、「Enable Sharing」をクリック
⑤ 上記設定後、AWS Resource Access Managerにてルールグループが共有されていることを確認します。ルールグループの確認方法や、その後のAWS Network Firewall側での設定方法についてはこちらをご参照下さい。
Cloud One - Network Securityとは
Cloud One - Network Securityは、クラウドネットワークの入り口で通信を監視し、仮想サーバやクラウドストレージ、アプリケーションの脆弱性などを悪用する攻撃を防ぐことができます。
トレンドマイクロのIPSルールをAWS Network Firewallで利用する場合、AWS Network FirewallにIPSルールを組み込みます。
一方、Cloud One - Network Securityを利用する場合、独自にインスタンスを立ててCloud One – Network Securityをデプロイ、そのインスタンスに通信を通す必要があります。
尚、インスタンスのデプロイではAWS CloudFormationを用いた自動デプロイをサポートしていますので、お客様におけるIPS構築の負荷を低減できます。
また、Cloud One – Network SecurityはAWS Network Firewallとは異なり、3ウェイハンドシェイクや、トラフィックの開始と終了を確認する必要がないため、ネットワークを中断させることなく運用を開始することが可能です。
参考:Cloud One – Network Security製品資料はこちら
AWS Network FirewallのIPSルールと
Cloud One - Network Securityの比較
AWS Network Firewallで無償でご利用いただけるトレンドマイクロのIPSルールと有償のCloud One - Network Securityのセキュリティ機能の違いについてご紹介します。
以下の図で2つのサービスのセキュリティ機能を比較しています。
Cloud One - Network Security | Network Security Managed Rules |
|
マルウェア 検索 | 〇 | 〇(インバウンドのみ) |
仮想パッチ | 〇 | × |
TLS暗号対応 | 〇(インバウンド通信) | × |
Zero Day Initiative | 〇 | × |
Webレピュテーション | 〇(FQDN、IPS) | 〇(IPS) |
ジオブロッキング | 〇 | × |
AWS Network Firewallはインバウンドのマルウェア検索のみの提供となります。
一方、Cloud One - Network Securityはインバウンド及びアウトバウンドの通信に対し、マルウェア検索だけでなく、仮想パッチという技術を用いた脆弱性対策を行うことができます。
この仮想パッチはトレンドマイクロが運営しているZero Day Initiative(以下ZDI)という世界トップの脆弱性発見コミュニティと連携します。
ZDIは主な脆弱性調査ベンダ11社が2020年に開示した脆弱性のうち、60.50%(※)を見つけます。
そのため、仮想パッチはゼロデイ攻撃と呼ばれる修正パッチ配布前の攻撃に対して非常に有効です。
このようなセキュリティ機能の違いがあるため、マルウェアの検索以外に脆弱性対策まで含めた一貫したIPSセキュリティ機能が必要とされる環境では、Cloud One - Network Securityのご利用を推奨します。
また、Cloud One - Network SecurityはAWS Marketplaceでもご購入いただけますので、従量課金でお手軽に始めることが出来ます。
トレンドマイクロの日本語によるスタンダードサポートもご利用いただけますのでぜひご検討ください。
参考:AWS MarketplaceにおけるCloud Oneの価格設定はこちら
(※)出典:Omdia, Quantifying the Public Vulnerability Market: 2021 Edition
監修
根本 恵理子
トレンドマイクロ株式会社 セキュリティエキスパート本部
セールスエンジニアリング部 サーバセキュリティチーム
ソリューションアーキテクト
CDN業界にて大規模なWebサービスの負荷分散やパフォーマンス改善、セキュリティ対策等の提案・導入を経験した後にセキュリティ業界へ転身し7年業務に従事。Trend Cloud Oneシリーズのソリューションアーキテクトとして、クラウド全体のセキュリティ対策の検討やストレージ環境に対するセキュリティ対策の普及に注力。またトレンドマイクロとAWSのアライアンスにてTech担当をしており、共催イベント、エンジニア連携企画等のリードに従事。
電子公告 | ご利用条件 | 個人情報保護方針 | Privacy and Legal |利用者情報の外部送信について | 製品使用許諾契約 |プレスリリース | サポート | サイトマップ | RSS
Copyright ©2024 Trend Micro Incorporated. All rights reserved