今回はWAFのいち機能なのでサラッといきます。
●調査リスト
①公式サイト
https://aws.amazon.com/jp/firewall-manager/
②ユーザーガイド
機能単独はなし。以下は開発者ドキュメント。
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/fms-chapter.html
③BlackBelt
単独のものはなし
④DevelopersIO記事一覧
https://dev.classmethod.jp/tags/aws-firewall-manager/
⑤リリースノート
単独のものはなし
⑥ドキュメント更新履歴
単独のものはなし
●温度感調査
Developers IO パラメータ
記事数:7
最終更新日Top3:2020.01.07 → 2019.02.27 → 2018.07.30
サービスアップデート状況
サービス提供開始:2018/4/4
サービス単体でははまとまっていませんでした。
ドキュメントアップデート状況
サービス単体ではまとまっていませんでした。
●AWS Firewall Manager サマリ
AWS Organizations前提のサービス。
カテゴリとしてはAWS WAF/AWS Sheield/AWS Firewall Managerという3つが1つのものとして整理されている。
アカウント単独で利用しているWAF関連の設定をOrganizationsの親アカウント側で管理・設定することで、配下の子アカウントに対してポリシーを適用させたり、状態を検知したりできる機能。
以下4種類のポリシーをサポートしている。
- AWS WAF ポリシー
- Shield Advanced ポリシー
- Amazon VPC セキュリティグループ ポリシー
- Network Firewall ポリシー
利用に当たっては、①AWS Organizationsの有効化②管理者アカウントの設定③AWS Configの有効化が必要となる点に注意されたい。
AWS WAFポリシー
管理者アカウントで設定したWAFのルールをOrg配下のアカウントに対して一括でポリシー適用させることができる。
Sheild Advancedポリシー
Org配下にある特定のアカウントと特定のAWSリソースに対して一括でShieldAdvancedを適用させることができる。
Amazon VPC Security Groupポリシー
他のポリシーと違って少し凝った機能がある。
- 指定したアカウントとリソースに共通セキュリティグループを適用できる
- セキュリティグループルールに準拠していないルールを見つけて強制的に更新することができる
- 未使用および重複しているセキュリティグループを見つけて削除することができる
Network Firewallポリシー
管理者アカウントで設定したNetwork Firewallのファイアウォールポリシーを条件にマッチする配下のアカウントに適用させることができる。
条件の絞り込みは全てのポリシーで同じで、
- 全てのアカウント
- 指定したアカウントまたはOrgUnitのみ、またはそれらを除く全てのアカウント
- 特定のタグのついたリソース
で、適用先のアカウントやリソースを絞り込むことができる。
深堀りの有無
実施しない
●所感
こちらもAWS Organizationsが必須となる機能。
共通のセキュリティポリシーを用意して子アカウントに適用させたり、あるいは複数のファイアウォールポリシーを管理者アカウント側で用意しておき、適用条件毎にタグを付けさせることで自動的に適切なポリシーを適用させることなどができるので、セキュリティ監査部門にとっては非常に強力な機能といえます。これまでは設計ガイドなどで定めたベースラインポリシーものを各利用部門が自身で設定したり、CLIやC/Fなどを使って織り込む必要があり、しかもそれを外部から監査する必要もありましたが、それらを一括で管理できることで監査側の工数も減らせるなど、やりかた次第でかなりの導入効果が期待できると思います。
いずれにしても現時点では弊社ではOrganizationsが有効でないため使えないので、適用が可能になったらすぐにでも追跡の深堀り調査を行うことになるかと思います。
●参考情報
なし