ビュー:
Network SecurityはAmazon Machine Image (AMI) として提供されています。Network Securityをネットワークに展開する方法を決定する際には、次の展開オプションのいずれかを選択することをお勧めします。
注意
注意
Network Security仮想Appliancesは自動スケーリングをサポートしていません。
各展開オプションは、さまざまな一般的なAWS環境向けに作成されたレファレンスアーキテクチャです。既存のネットワーク構造と検査ニーズに最も適したオプションを選択してください。これらの展開推奨設定は、ネットワークの個別の要件に合わせて変更することもできます。
画像内の矢印は、VPCおよびNetwork Securityインスタンスを通るネットワークトラフィックの流れを示しています。

受信インターネットトラフィックを検査

次の展開オプションは、インターネットゲートウェイからVPCに流れるトラフィックを検査する必要がある環境に最適です。
  • エッジ保護展開 (推奨): この展開は、主にインターネットからの接続を受けるサーバーを保護します。展開チェックリスト
    [Deploy this option automatically using the Deploy Protection wizard on the Network Security management interface.]
    この展開オプションは、以下を必要とする環境に最適です:
    • Webサーバーを保護するシンプルなネットワーク設計。
    • 複数の仮想Appliancesの展開。
    • VPCとインターネット間およびVPCとVPNゲートウェイ間の検査。
    • 単一のVPC — この展開オプションにはTransit Gatewayは必要ありません。
    • AWSベストプラクティスに従ったサードパーティAppliancesの統合。
    この展開オプションでは、アウトバウンドインターネットトラフィックにNATゲートウェイを使用する場合、真のソースインスタンスのIPアドレスを示しません。
    この展開の環境構造とルーティングの詳細については、以下の画像を参照してください。番号付きの矢印は、環境内のトラフィックの流れの順序を示しています。緑はリクエストを、オレンジはレスポンスを表します。
    deploy_scenario1_am=d99a0356-ae5a-45ae-b84e-783fcaa7f6d6.png
    注意
    注意
    Gateway Load BalancerのNetwork Securityでは、動的な自動スケーリングはまだサポートされていません。
  • Gateway Load Balancerを使用してインバウンドトラフィック用の集中型Virtual Applianceを展開する: この展開は、主にインターネットからの接続を受けるサーバーを保護します。
    この展開オプションは、以下を必要とする環境に最適です:
    • 複数のAWSアカウントにまたがる複数のVPCに対して集中管理されたセキュリティ検査が必要な環境。
    • 1つ以上のWorkload VPCを含む環境。
    • 以下の画像に示されているように、Network Security Virtual ApplianceとGateway Load Balancerが配置されている別のVPC (Security VPCと呼ばれます)。
    • Workload VPC内にあるGateway Load Balancer VPCエンドポイントを通過するトラフィックは、AWSネットワークを離れることはありません。
    この展開の環境構造とルーティングの詳細については、以下の画像を参照してください。番号付きの矢印は、環境内のトラフィックの流れの順序を示しています。緑はリクエストを、オレンジはレスポンスを表します。
    GWLB_option1_autoscaling_group=d864fb77-ae13-46bd-98fa-3867096a39d3.png

アウトバウンドインターネットトラフィックとラテラルトラフィックを検査する

次の展開オプションは、インターネットゲートウェイを介してパブリックVPCから流れるトラフィックを検査する必要がある環境や、環境内のVPC間の東西トラフィックフローを検査する必要がある環境に最適です。
注意
注意
Gateway Load BalancerのNetwork Securityでは、動的な自動スケーリングはまだサポートされていません。
アウトバウンドまたはラテラルトラフィック用にGateway Load Balancerを使用して集中型Virtual Applianceを展開する: この展開は、主にEC2インスタンスからインターネットおよび/または異なるWorkload VPC内のEC2インスタンス間でトラフィックを送信するAWSアーキテクチャ向けに設計されています。
この展開オプションは、以下を必要とする環境に最適です:
  • 複数のWorkload VPCが同時に集中管理されたSecurity VPCによる保護を必要としています。
  • Transit Gatewayを使用する環境。
注意
注意
このトポロジーは、受信接続を検査しません。
この展開の環境構造とルーティングの詳細については、以下の画像を参照してください。番号付きの矢印は、環境内のトラフィックの流れの順序を示しています。緑はリクエストを、オレンジはレスポンスを表します。
GWLB_option2=744e9b36-458f-4d2e-9ea9-ce53e4b9d216.png