AWS現在提供網路防火牆服務Network Firewall,可讓用戶制定特定措施,來保護關鍵工作負載,或是過濾流量遵守政府命令和法規。AWS Network Firewall可過濾出站URL,並使用封包資料IP、連接埠以及協定,進行模式比對以過濾封包,目前這個新的Network Firewall服務,先於美東北維吉尼亞、美西奧勒岡以及歐洲愛爾蘭地區開始提供。

雖然在不少AWS服務中,都有提供保護服務的防火牆功能,像是EC2執行個體提供安全群組功能,還有用來保護VPC子網路的網路ACL,以及網頁應用程式防火牆,可以保護Amazon CloudFront上執行的網頁應用程式,應用程式負載平衡服務、API閘道服務和AWS Shield,能夠保護網頁應用程式免受DDoS攻擊。但AWS提到,不少用戶仍需要一種簡單的方法,來管理所有使用的AWS服務流量,因此他們創建了AWS Network Firewall。

AWS Network Firewall是一種應用於虛擬私有雲(Virtual Private Cloud,VPC)的高可用性網路防火牆服務,用戶經簡單地部署操作,就能開始有狀態檢查、入侵防禦和偵測,並對網頁進行過濾。該防火牆是全託管服務,因此會根據用戶的流量,自動擴展規模,以確保防火牆服務的可用性,使用者不需要管理基礎設施。

用戶可以利用AWS Network Firewall,實作自定義規則,避免VPC存取沒有經過授權的網路,並阻擋已知惡意IP位置,或是使用簽章來辨識惡意活動。用戶可以從CloudWatch指標,來監看防火牆的活動,AWS Network Firewall透過將日誌儲存到物件儲存S3,或是發送到CloudWatch和Kinesis Firehose,來提高網路流量的可見性。

AWS Network Firewall執行無狀態和有狀態流量檢查規則引擎,引擎會根據用戶制定的防火牆規則和配置,來過濾網路流量,用戶可對VPC中每個可用區域設置網路防火牆,而每個可用區域,可以選擇一個子網路,來託管用於過濾流量的防火牆終端,並保護該區域所有子網路。

每個防火牆只能擁有一個防火牆政策,用戶可以透過無狀態和有狀態規則群組集,以及其他配置,來定義防火牆行為,而規則群組則是一群有狀態和無狀態規則的集合,定義防火牆查看和處理網路流量的方法。

AWS提到,因為Network Firewall整合在Firewall Manager中,所以使用AWS Organizations管理帳戶的用戶,可以統一啟用和監控所有VPC以及AWS帳戶中的防火牆活動。AWS與多家廠商合作,使得Network Firewal可與現有的安全生態系互通,像是可利用Datadog監控AWS Network Firewall,或是使用Fortinet提供的規則等,用戶也可以在防火牆中,應用由社群維護的規則。


Advertisement

更多 iThome相關內容