フォーム読み込み中
情報セキュリティによるリスクマネジメントは、企業における最も重要な課題の1つです。セキュリティ対策を怠る事で、システムの停止や情報漏えいなど大きな影響を及ぼします。
本記事では、Alibaba Cloud(以下 Alibaba)、Amazon Web Services(以下 AWS)、 Microsoft Azure(以下 Azure) と Google Cloud(以下 Google) の4つのクラウドにおけるファイアウォールサービスと料金体系について紹介します。参考になりましたら幸いです。
セキュリティ関連サービス
クラウドではさまざまなセキュリティ対策サービスがあります。
理由としては、1つの機能だけでは情報流出や攻撃などのありとあらゆるものを防ぐことが難しい場合があるからです。そのため、各クラウドは複数のサービスを組み合わせ構成できるように、不正なアクセスや攻撃に対処するためのサービスがいくつか用意されています。
例えば、ファイアウォール、IPS(Intrusion Prevention System)/IDS(Intrusion Detection System)、WAF(Web Application ファイアウォール)、DDoS(Distributed Denial of Service attack)などです。
簡単に機能を紹介させていただくと、ファイアウォールはネットワーク(IP/ポート)を防御、IPS/IDSはプラットフォームレイヤ(OS/ミドルウェア)を防御、WAFはアプリケーションレイヤ(http/https)を防御することに向いています。また、大量のデータが送りつけられ、アクセスが集中することでサーバがパンクさせられるサイバー攻撃にはDDoS対策が向いています。
このように、各セキュリティ機能には得意なことがあるため、どれか1つの機能で防御することよりも、いくつかのセキュリティ機能を組み合わせて、複合的に構成して、システムを防御していく方法があります。
今回はその中でもセキュリティ対策の基本であるファイアウォールサービスにフォーカスして取り上げていきます。
ファイアウォール機能比較
ファイアウォールは、内部のネットワークとインターネット間を分離することでインターネット側から攻撃されるアクセスを遮断し、インターネット側への重要な情報が流出しないために用いられる「防護壁」で、セキュリティ機能の1つです。ファイアウォールを利用することで、パケット単位・IPアドレス・ポート番号・通信プロトコルなどを解析して、事前に定義した設定(ルール)に基づき、通信を通過するか拒否するかを判断したりすることが可能です。
では実際に各社どのようなファイアウォール機能を提供しているのか、機能を比較してみたいと思います。
※AlibabaとAzureはFirewallサービスで複数のプランが提供されていますが、今回はVPC内のFirewall制御について主に記載していきますので、VPC内でアクセス制御が可能な一番下のライセンスという事で、Alibabaは「Enterprise Edition」、Azureは「Standard」で機能比較します。
| Alibaba | AWS | Azure | ||
|---|---|---|---|---|
| サービス名 | Cloud Firewall | AWS Network Firewall | Azure Firewall | VPC内Firewall |
| サービスプラン | Basic Edition Premium Edition Enterprise Edition Ultimate Edition | - | Standard Premium | - |
| SLA | 99.0%以上99.95%未満 | 99.0%以上99.95%未満 | 99.95% (Availability Zone使用時は99.99%) | Firewall単体でのSLAはなし |
| 制御方向 | 上り(内向き) 下り(外向き) の指定可能 | 全て 転送 の指定可能 | 指定不可 | 上り(内向き) 下り(外向き) の指定可能 |
| 状態保持 | ステートフル | ステートフル or ステートレス | ステートフル | ステートフル |
| 制御方式 | 〇 優先度の高いポリシー順に適用 | 〇 ステートフルの場合はデフォルト or 厳格 ステートレスの場合は優先度による制御可能 | 〇 親ポリシーの継承 → 優先度の高いルールの適用順となる | 〇 優先度の高いルールが適用 |
| IPv6対応 | 〇 | 〇 | × | 〇 |
| アクション | allow or deny or monitor | allow or drop or alert | allow or deny | allow or deny |
| ステータス制御 | 有効 or 無効 の制御可能 | なし | なし | 有効 or 無効 の制御可能 |
| 制御対象 | 送信元IP 宛先IP ポート プロトコル アプリケーションタイプ ドメイン リージョン | 送信元IP 宛先IP ポート プロトコル ドメイン | 送信元IP 宛先IP ポート プロトコル タグ Webカテゴリ FQDN | 送信元IP 宛先IP ポート プロトコル タグ サービスアカウント |
| 付加機能 | 侵入検知 侵入防止 脆弱性保護 脅威インテリジェンス インテリジェントな保護機能 ログ監査、ログ分析 | Webフィルタリング 侵入防止 アラートログとフローログ サードパーティ統合 | 脅威インテリジェンス DNSプロキシ カスタムDNS 送信SNAT 受信DNAT 強制トンネリング Azure Monitorログ記録 | ログ記録 |
| 構成の上限 | ・VPC firewall limits ・Create access control policies for outbound and inbound traffic on the Internet firewall | ・AWS Network Firewall quotas | ・Azure Firewall limits | ・割り当てと上限 |
状態保持の行に記載のあるステートフルとは、行きのトラフィックを許可すれば、帰りのトラフィックは自動的に許可されることを言います。反対にステートレスの場合は、行きのトラフィックと帰りのトラフィックは別々に管理が必要になります。
機能比較の表だけ見ると分かりづらい用語もあるかと思いますので、各クラウドの特徴も踏まえ簡単に補足させていただきます。
Alibaba Cloud
Alibaba Cloud のCloud Firewallは、Premium Edition、Enterprise Edition、およびUltimate Editionが提供されています。 機能とアセットまたは帯域幅の仕様は、エディションによって異なります。また今回の機能比較で掲載しているVPC間のトラフィック制御については、Enterprise Editionでしか提供されていません。各エディションの機能詳細については、公式サイトのFunctions and featuresをご参照ください。
機能比較に記載した少しわかりづらい用語を補足させていただきます。
■ポリシーアクションとしてのMonitor
AlibabaにはポリシーアクションとしてMonitorが用意されています。
Monitorは単に許可・拒否をするのではなく、ポリシーを満たしているトラフィックを一定期間監視して、一定要件を満たした場合に許可または拒否に変更できる機能です。
■アプリケーションタイプ
HTTPやHTTPS、SMTPといったアプリケーションタイプでもアクセス制御を実装する事が可能です。
■ドメイン名でのアクセス制御
アクセス制御ポリシーでドメイン名を指定する事が可能です。ドメイン名はダイナミックDNSでIPアドレスを取得し、IPアドレスに対してアクセス制御が実装されます。
注意事項としては以下の3点が挙げられます。
- アプリケーションタイプによっては、実装方式が異なる場合があるのでご注意ください
- アクセス制御はアウトバウンドのポリシーのみで実装可能で、インバウンドのポリシーには実装できません
- ワイルドカードでのドメイン名は指定できません
■ 侵入検知・侵入防止
侵入検知は、侵入防止システムによって検出された侵入イベントと侵入イベントの詳細の記録がされ、確認する事が可能です。
■ 脆弱性保護
脆弱性を悪用する攻撃をブロック可能です。脆弱性を悪用した攻撃を検知した際は、『ブロック』『アラートのみ』『部分的に防止』のアクションを選択する事が出来ます。
脆弱性については、脆弱性ライブラリ検出、脆弱なパスワード検出といった基本的な機能に加え、インターネット上で検出された緊急の脆弱性にも対応しています。
また、アセットに対して実行した脆弱性スキャンの結果などもコンソール上から確認できる機能が実装されています。
■ 脅威インテリジェンス
脅威インテリジェンス機能は、Alibaba Cloud全体で検出された悪意のあるIPアドレスをCloudFirewallに同期し、正確な侵入防止を実装します。これにより悪意のあるアクセス、スキャン、またはブルートフォース攻撃が防止されます。
■ インテリジェントな保護機能
クラウドでの大量のデータに基づいて攻撃を識別し、リアルタイムで攻撃のアラートを生成します。また、攻撃に関する大量のデータを学習して、脅威の検出と攻撃の検出の精度が自動で向上されています。
■ ログ監査、ログ分析
ファイアウォールを通過するログやCloud Firewallの全ての構成とログを記録します。記録したログはリアルタイムで自動的に収集、保存、分析して、特定の基準に基づいた監視やアラート発報を実装する事が出来ます。
AWS
AWSはプランが分かれておらず、1つのプランでFirewall機能が提供されています。
ではどのような機能が提供されているのか、用語を補足しつつ記載させていただきます。
■ Webフィルタリング
暗号化されていないWebトラフィックのWebフィルタリングを提供します。暗号化されているWebトラフィックは、特定のサイトへのアクセスをブロックできます。Firewallだけだと復号化の機能を持っていません。
■ 侵入防止
侵入防止システム(IPS)は脆弱性の悪用やブルートフォースアタック(暗号解読方法のひとつで、可能な組合せを全て試す攻撃)に対して、リアルタイムで検査を実施します。検査はシグネチャベースで行われ、既知の脅威シグネチャと照合されます。
■ アラートログとフローログ
アラートログは、トリガーされたルールとトリガー下特定のセッションに関するログが記録されます。またフローログはファイアウォールを通過する全てのトラフィック情報が取得され、取得されたログはS3などのマネージドストレージに保存する事が可能です。
■ サードパーティ統合
AWS Network Firewallの面白い点として、パートナーとの製品統合が挙げられます。
例えば、ファイアウォールから出力されたログやセキュリティイベントを、SIEMなどのサードパーティの分析ソリューションに送信する事が出来ます。
またパートナー製品とFirewallを組み合わせることで、さまざまな機能を実装したり、より強固なセキュリティ要件を満たすことができます。
パートナーと提供機能についてはAWS Network Firewall Partnersをご参照ください。
■ 制御方式
制御方式もパターンが幾つかあるので補足します。
ステートレスでは、ポリシー内の各ルールが評価されます。ルールは、割り当てられた優先度に基づいて順番に処理され、番号が最も小さいルールが最初に評価されます。
ステートフルではデフォルトの場合、ルールエンジンは最初に pass のアクションを設定しているルールを評価し、次に drop、そして alert の順で処理を実施します。エンジンは、一致するルールが見つかると、ルールの処理を停止します。
ただし、ファイアウォールポリシーが厳格な順序を使用するように設定されている場合、Network Firewall では、ステートフルルールグループに対しても優先度に応じた評価が可能になっています。
Azure
Azureは提供されている機能によってStandardとPremiumにプランが分かれています。PremiumプランではStandardの機能に加えIPSやIDS、TLSインスペクションなどの機能も提供されていますが、Standardだけでも以下で補足させていただく機能が提供されています。
■ 脅威インテリジェンス
Azureは脅威インテリジェンスといったフィルタを有効にすることができます。有効にすると既知の悪意あるIPアドレスやドメインなどのトラフィックに対して警告や拒否を行うことができます。悪意あるIPアドレスやドメインなどのソースはMicrosoftが管理しており、他にもMicrosoft Defender for Cloud などの複数のサービスによって利用されています。
■ Webカテゴリ
Webカテゴリとは、ギャンブルやSNS等のWebサイトカテゴリに対して、ユーザのアクセスを制御できる機能です。
■ DNSプロキシおよびカスタムDNS
Azure FirewallをDNSプロキシとして構成可能です。DNSプロキシを有効にすると、仮想マシンがAzure Firewallを指定する事で、指定したカスタムのDNSサーバへのプロキシとして動作します。もしFQDNで制御を実施する場合は、DNSプロキシを有効にする必要があります。
また、Azure FirewallではデフォルトだとAzure DNSが使用されます。カスタムDNS機能を使用する事で任意のDNSサーバを指定する事が可能です。
■ 強制トンネリング
強制トンネリングを使用すると、Azureネットワーク内からインターネットへの通信に対して、直接インターネットに抜けるのではなく指定されたルータなどにルーティングする事が出来ます。
■ Azure Monitorログ記録
全てのイベントをAzure Monitorと統合できます。
統合することで監視をはじめ、データ分析やレポートの作成も行うことが可能です。
Google Cloud
Google Cloudはサービスプランや付加機能がない非常に分かりやすいシンプル機能です。
1つ特徴としては、Google Cloudではサービスアカウントによる制御が可能です。
サービスアカウントを利用する事で従来のIPやタグベースでの制御だけではなく、例えばテンプレートから新しいGCEをデプロイした場合でも、ファイアウォールを自動的に構成、適用させることができます。ただし、ネットワークタグとサービスアカウントは混在させて一致させることはできないので注意が必要です。
またルールごとにログの記録をオンにする事でCloud Loggingにトラフィックログを連携する事が可能です。
ファイアウォール構成
Firewallといったキーワードをもとに機能比較だけしてみると各社でばらつきがあるように見えますが、Firewallサービスとして特定の機能を提供していないクラウドで同じ機能を実装できないのかと言われるとそんな事はありません。Firewallという1つのサービスに色々な機能を含んでいるのか、それとも含んでいないのかの差だけですので、「Firewallはシンプルに使いたい」なのか、それとも「色々な機能があると1つのサービスで制御しやすくて助かる」なのか、個人によって好き嫌いは分かれると思います。
では実際に仮想マシンの前段にFirewallを置くとしたら各社どのようなイメージになるのでしょうか。今回はVPC内に入ってくるトラッフィックやサブネット間の制御を実施するファイアウォールと各クラウドで提供されている他のセキュリティサービスの簡単な論理構成図を用いて確認していきたいと思います。
VPC内のセキュリティコントロールを見てみると、
Alibaba、AWSでは、ネットワークセキュリティとしてサブネット単位で制御するネットワークACL(アクセスコントロールリスト)や、インスタンスへの通信を制御するセキュリティグループが提供されています。これらを利用する事で、送信元や宛先のIPアドレス、プロトコル、ポートなどによって、無料でアクセス制御が可能です。
Azureでは、ネットワークACLとセキュリティグループが分かれておらず、NSG(ネットワークセキュリティグループ)をサブネットや仮想マシンに紐づけることによって、同様の制御が無料で可能です。
では3つのクラウドではどのような際にFirewallを利用するのでしょうか。
それは、ネットワークACLやセキュリティグループでは上述したようなL3・L4レベルの簡易な制御しかできないため、L7レベルでの制御が求められる場合や、ドメインでの制御、侵入防止など、より多くのセキュリティ要件が求められる環境ではFirewallが必要になってきます。また通信が全てFirewallを通るように構成する事でポリシーの一元管理が出来たり、トラフィックログを有効にすることでログの一元管理や分析も可能になります。
費用は掛かってしまいますが、運用管理面でも非常にメリットがあります。
Google Cloudに関しては、他社がACLやセキュリティグループで提供している内容がVPCファイアウォールと呼ばれているサービスになります。L7レベルのセキュリティを実装したい場合はCloud ArmorやCloud IDSといったサービスと組み合わせて実装します。
料金比較
最後に各クラウドの料金体系を見ていきましょう。
| Alibaba | AWS | Azure | ||
|---|---|---|---|---|
| 課金方法 | 月額課金 以下、プランによる有効値あり トラフィック IPアドレスの数 アクセス制御ポリシーの最大数 など | 以下の従量課金 エンドポイントごと トラフィック量 | 以下の従量課金 時間料金 デプロイごとデータ処理料金 | 以下の従量課金 下り/上りにより料金 IPアドレス料金 階層型ファイアウォール ポリシーによる料金 など |
| 料金表 | 月額 1450$/固定 | ファイアウォールエンドポイント $0.395/時間 トラフィック処理 $ 0.065 / GB | ファイアウォールエンドポイント $1.25/時間 トラフィック処理 $ 0.016 / GB | 無料 ※階層型ファイアウォールと呼ばれる組織全体で一貫したポリシーを適用する場合は有料 |
| 参考 (IP、ポート、プロトコルのみの制限をする場合) | 無料 (※ネットワークACL、セキュリティグループを利用) | 無料 (※ネットワークACL、セキュリティグループを利用) | 無料 (※NSGを利用) | 無料 |
料金体系は、Alibabaのような月額固定性のクラウドやAWS・Azureのように、時間ごとの受領課金+データ処理料金のクラウド、Googleのように無料のクラウドと課金方式が異なります。
では上記の料金表をもとに、1ヵ月間(30日)稼働して、その間にFirewall上を100GBのトラフィックが流れた場合の料金はどのようになるか計算してみましょう。
| Alibaba | AWS | Azure | ||
|---|---|---|---|---|
| 1か月の料金 | 1,450$ | 290.9$ (0.395 × 24 × 30 + 0.065 × 100) | 901.6$ (1.25 × 24 × 30 + 0.016 × 100) | 無料 |
料金を比較してみると各社にバラつきがあります。理由としては機能比較で説明したようにFirewallの中でも機能差分が多くあるためです。そのため、多くのセキュリティサービスが盛り込まれているけど機能毎の料金は掛からないので安いとみるのか、一部の機能だけ使いたいだけなのに従量やトラフィック量で課金されるのは高いとみるのか、実装要件によるので慎重な判断が必要です。
まとめ
いかがでしたでしょうか。
各クラウドで同じような名前のサービスが提供されていますが、実装におけるサービスの選択方法や料金設定/プランは各社異なります。そのため、どのようなサービスや機能が提供されており、どのような料金体系になっているかは事前に調査し、考慮したうえで比較・設定が必要になります。
また、セキュリティ関連サービスは導入すればそれで終わりではありません。
最近では不正なアクセスに対してセキュリティ対策をしても、不正なアクセスが次々と姿・形を変えるため、それぞれにあった対処方法が必要となり、いたちごっことなります。
それぞれセキュリティ対策を導入後、次々と別の攻撃などが行われていないか、絶えず監視・管理し、メンテナンスを行なっていく必要があります。そのためには、システム提供のシステム管理者のみで対応していくのではなく、各クラウドサービスを上手く活用し、各クラウドによるサービスのアップデートを適宜適用することにより、速やかに対応していくことができます。
関連サービス
Amazon Web Services (AWS)
ソフトバンクはAWS アドバンストティアサービスパートナーです
「はじめてのAWS導入」から大規模なサービス基盤や基幹システムの構築まで、お客さまのご要望にあわせて最適なAWS環境の導入を支援します。
Microsoft Azure
Microsoft Azureは、Microsoftが提供するパブリッククラウドプラットフォームです。コンピューティングからデータ保存、アプリケーションなどのリソースを、必要な時に必要な量だけ従量課金で利用することができます。
Google Cloud
Google サービスを支える、信頼性に富んだクラウドサービスです。お客さまのニーズにあわせて利用可能なコンピューティングサービスに始まり、データから価値を導き出す情報分析や、最先端の機械学習技術が搭載されています。
Alibaba Cloud
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
MSPサービス
MSP(Managed Service Provider)サービスは、お客さまのパブリッククラウドの導入から運用までをトータルでご提供するマネージドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
