AIWAF-VEとAWS Gateway Load Balancer(GWLB)の完全な統合 | MONITORAPP

Blog

Get the latest cybersecurity news

ブログページへ戻す

AIWAF-VEとAWS Gateway Load Balancer(GWLB)の完全な統合

 

こんにちは、MONITORAPPです。

今日はAWSが提供する様々なLoad Balancerについて簡単に説明し、その中でも特にGWLBについて詳しく説明します。

 

AWSの様々なLoad Balancer Service

AWSは、様々なロードバランサーサービスを提供しており、トラフィックの分散、アプリケーションの安定性向上、拡張性の向上などに役立ちます。主要なAWSロードバランサーの種類は次の通りです:

 

 

  • クラシックロードバランサー(CLB):

最も基本的で伝統的なロードバランサーでHTTP、HTTPS、TCPトラフィックを分散し、伝統的なWebアプリケーションやネットワークトラフィックの分散に使用されます。

 

 

  • ネットワークロードバランサー(NLB):

OSIレイヤ4で動作するロードバランサーで、TCPおよびUDPトラフィックを分散します。高性能および低コストが特徴です。
主に、TCP、UDPベースの高速性能を必要とするアプリケーションに適しています。

 

 

  • アプリケーションロードバランサー(ALB):

OSIレイヤ7で動作するロードバランサーで、HTTPおよびHTTPSトラフィックに基づくルーティングと特定のアプリケーションレベルの機能を提供し、
モダンなWebアプリケーション、マイクロサービスアーキテクチャに適しています。

 

 

  • ゲートウェイロードバランサー(GWLB):

OSIレイヤ3で動作し、IPトラフィックを処理します。複数の可用性領域で拡張可能な構成が可能で、大規模なIPベースのワークロードに適しており、
VPN、Direct Connectなどのゲートウェイとして機能します。

 

 

Gateway Load Balancer (GWLB) とは?

AWS Gateway Load Balancer (GWLB) はOSIレイヤ3で動作するロードバランサーで、IPトラフィックを効果的に管理し、複数の可用性領域にわたって大規模なワークロードを分散することができます。 特に、GWLBはクライアントの実際のIPアドレスを維持する機能を提供し、セキュリティソリューションでクライアントのIPアドレスを追跡する必要性に対応します。

  • Layer 3 ロードバランシング:GWLBはIPアドレスとポートレベルでトラフィックを分散し、これはOSIレイヤ3でのロードバランシングを意味します。
  • 高可用性と拡張性:GWLBは複数の可用性領域にわたって拡張可能で、高可用性を提供し、アプリケーションの信頼性を向上させます。
  • VPNDirect Connectの統合:GWLBはVPNとAWS Direct Connectと統合され、ハイブリッドクラウド環境での拡張可能なネットワークアーキテクチャを提供します。
  • セキュリティとモニタリング:AWS WAF(Web Application Firewall)、AWS Shield、VPC Flow Logsなどと統合してセキュリティとモニタリングを強化することができます。

 

GENEVEをはじめとするEncapsulationプロトコルの役割

GENEVEプロトコルをはじめ、ネットワークには様々なEncapsulationプロトコルが存在します。Encapsulationはネットワーク通信で必須の概念で、データの安全な伝送とネットワークの効率的な管理をサポートし、セキュリティと相互運用性を強化する上で重要な役割を果たします。

[役割]

  • データカプセル化: Encapsulationは、データをパケットにカプセル化して安全な伝送を保証します。これにより、データの整合性が維持され、途中で介入されないようにします。
  • セキュリティ強化:セキュリティ面では、Encapsulationはデータを安全に伝送することで、ネットワークでの通信セキュリティを強化します。 特にVPN(Virtual Private Network)接続では、Encapsulationが重要な役割を果たします。
  • 様々なネットワーク環境の統合: Encapsulationは、異なるネットワーク環境を一つに統合するために使用されます。様々なプロトコルと技術を統合することで、様々なネットワーク間の相互運用性をサポートします。
  • クライアント識別:一般的なEncapsulationプロトコルは、クライアントの実際のIPアドレスを保持し、セキュリティソリューションでクライアントを識別するために使用されます。これは、クライアント管理とセキュリティポリシーの適用に役立ちます。

[種類]

  • Generic Routing Encapsulation (GRE)GREはIPパケットをカプセル化して他のネットワークにトンネルする役割をします。様々なネットワーク間の通信をサポートし、仮想プライベートネットワーク(VPN)でよく活用されます。
  • Virtual Extensible LAN (VXLAN)VXLANは、仮想マシン間の通信のための仮想ネットワークを作成する役割を担います。 拡張可能なネットワークアーキテクチャをサポートし、仮想マシンとコンテナベースの環境で効率的な運営をサポートします。
  • Generic Network Virtualization Encapsulation (GENEVE)GENEVEは仮想化されたネットワーク環境での通信のためのカプセル化プロトコルとして使用されます。柔軟なヘッダー形式を提供し、多様なネットワーク環境とサービスに対応することができます。トンネリング、仮想化、マルチプロトコルサポートなどの機能を提供し、ネットワークの多様性と複雑性に対応します。

 

AIWAF-VEGateway Load Balancer (GWLB)

前述したように、Virtual APPLIANCEセキュリティソリューションをAWS GWLBと統合する最大の目的は、クライアントIPを識別し、セキュリティポリシーを適用するためです。Proxyで動作するロードバランサーを経由する構成では、トラフィックの出発地IPはロードバランサーのIPに変更されます。

この構成でWAF(Web Application Firewall)ソリューションに同じクライアントIP(ロードバランサーIP)しか流入しない場合、発生可能な例をいくつか挙げてみましょう。 IPを基盤としたしきい値ポリシーは使用できません。 また、信頼できるIPリストで例外処理もできなくなります。もちろん、IPを代替するためのクライアント識別子としてセッション(Cookie)またはFingerprintを活用することができますが、システムの多くのリソースが消費されます。また多くのソリューションやポリシーの基準としてIPが主に活用されます。

 

 

MONITORAPPのAIWAF-VEはAWS GWLBと完全に統合されます。クラウド環境でTransparent proxyとして配置され、GENEVEプロトコルに対してDecapsulationとEncapsulationを行い、類似目的のプロトコルであるGRE、VXLANなどのEncapsulationプロトコルもサポートします。すべてのセキュリティポリシー及びロギングはDecapsulationされた状態で処理され、既存のIn-lineモードで提供されるすべてのセキュリティ機能と便宜機能をAWS GWLB環境でも使用することができます。

 

AIWAF-VEについて詳しく知りたい方はこちらを

https://www.monitorapp.com/ja/waf-ve-jp/

https://aws.amazon.com/marketplace/pp/prodview-aile4raij6obc

参考にしてください。

ありがとうございます。

Scroll Up