【VPC外リージョンサービス】
Firewall Manager は、複数のアカウントやリソースに対するネットワークセキュリティポリシーを一元管理する ファイアウォール管理ツール です。
Organizations と連携し、組織全体にわたって WAF、Shield Advanced、SG(Security Groups)、Network Firewall、Route 53 Resolver DNS Firewall などのルールや設定を ポリシー管理 に基づいて 一元適用・自動展開 できます。
新規アカウントにもポリシーを自動適用する 継承設定 に対応しており、Webアプリケーション保護 や DDoS対策、L7トラフィック制御、DNSフィルタリング、セキュリティグループ監査 などを自動で行います。また、ポリシー適用状況監視 により 違反検知 や 自動修復 を実現し、セキュリティベースライン維持 に貢献します。
ポリシーテンプレート や 自動適用ルール、例外設定、レポート出力 といった機能を備え、コンプライアンス監視 とレポート可視化を通じて、セキュリティチームがポリシーを効率的に一括適用・監視できる統合セキュリティ基盤として機能します。
重要用語
ユースケース
| 複数アカウントへのWAFポリシー一括適用 | 組織内のすべてのCloudFrontやALBに対して共通のWAFルールセットを配布し、セキュリティ基準を統一する。 |
| ネットワークファイアウォールの集中管理 | AWS Network Firewallやセキュリティグループポリシーを一元管理し、意図しないオープンポートや許可ルールを自動検出・修正する。 |
| セキュリティ基準違反リソースの検知 | 新しく作成されたリソースが組織のセキュリティポリシーに違反していないかをチェックし、自動的に保護ルールを適用したり管理者に通知する。 |
ベストプラクティス
| セキュリティポリシーの集中管理 | WAFやセキュリティグループルールを全アカウントに一括適用する。 |
| スコープの明確化 | 対象となるアカウントやリソースの範囲を適切に定義する。 |
| ポリシー違反の監視 | 違反リソースを継続的に監視し、是正を行う。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・サービスコントロールプレーン ・ポリシー設定とメタデータ ・組織横断の管理データ ・監査とコンプライアンスログ ・自動修復システム |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI)) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 ポリシー適用状況の構成監査(一部設定の準拠評価) |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 ポリシー操作のAPI異常検知 |
ログ・監視
| ログ出力先 | ログの種類 |
|---|---|
| CloudWatch Logs | API呼び出しログ |
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
制限値(固定値/ハードリミット/ソフトリミット)
| 固定値 | 制限値 |
|---|---|
| メンバーアカウント数/組織 | Organizations制限に従う |
| ハードリミット | 制限値 |
|---|---|
| ルールグループ数/ポリシー | 50 |
| ソフトリミット | 制限値 |
|---|---|
| ポリシー数/アカウント | 100 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| ポリシー | 作成されるFirewall Managerポリシー数 |
| リソース | ポリシーで保護されるリソース数 |