AWS Network Firewall
AWS Network Firewall — это управляемый облачный сервис, предоставляемый компанией Amazon Web Services (AWS) для обеспечения сетевой безопасности виртуальных частных облаков (VPC). Сервис предназначен для фильтрации входящего, исходящего и проходящего (межсетевого) трафика на уровне сетевых протоколов (3-й уровень модели OSI) и транспортного уровня (4-й уровень), а также для обнаружения и предотвращения вторжений (IPS/IDS) на уровне приложений (7-й уровень). AWS Network Firewall позволяет централизованно управлять политиками безопасности для нескольких VPC, автоматически масштабируется в зависимости от объёмов трафика и не требует развёртывания и обслуживания собственных аппаратных или программных межсетевых экранов.
История
Сервис AWS Network Firewall был анонсирован компанией Amazon Web Services 17 ноября 2020 года на конференции re:Invent. Запуск состоялся 10 декабря 2020 года. До появления этого сервиса пользователи AWS для реализации сетевых экранов в VPC были вынуждены использовать сторонние решения (например, от Palo Alto Networks, Fortinet, Check Point) или самостоятельно развёртывать межсетевые экраны на виртуальных машинах EC2, что требовало дополнительных затрат на управление, масштабирование и обеспечение отказоустойчивости. AWS Network Firewall стал первым нативным управляемым сервисом сетевого экрана от самой AWS, интегрированным с другими сервисами платформы, такими как AWS Firewall Manager, Amazon CloudWatch, AWS CloudTrail и AWS VPC Flow Logs.
Архитектура и принцип работы
AWS Network Firewall развёртывается в отдельной подсети (Firewall Subnet) в каждом VPC, где требуется его использование. Сервис работает как прозрачный шлюз (transparent gateway) — он не изменяет IP-адреса пакетов и не требует настройки маршрутизации на стороне клиента. Вся фильтрация осуществляется на основе правил, заданных в политиках (Firewall Policies), которые могут быть общими для нескольких VPC.
Компоненты сервиса
- Firewall — экземпляр сервиса, развёрнутый в конкретном VPC. Он связан с одной или несколькими подсетями (Firewall Subnets) и обрабатывает трафик, проходящий через них.
- Firewall Policy — набор правил, определяющих, какие действия (пропустить, заблокировать, залогировать) должны применяться к трафику, соответствующему определённым критериям. Политики могут быть иерархическими: одна политика может ссылаться на другую (политика-родитель).
- Rule Group — группа правил, объединённых по типу. Существует три типа групп правил:
- Stateful Rule Group — правила с отслеживанием состояния соединения (stateful inspection). Позволяют анализировать не только отдельные пакеты, но и весь поток данных (например, разрешить ответы на установленные соединения, даже если они не соответствуют правилам для входящего трафика).
- Stateless Rule Group — правила без отслеживания состояния (stateless inspection). Применяются к каждому пакету независимо. Обычно используются для базовой фильтрации (например, блокировка определённых IP-адресов или портов).
- Suricata-compatible Rule Group — группа правил, совместимых с открытой системой обнаружения вторжений Suricata. Позволяет определять сложные сигнатуры атак, анализировать содержимое пакетов (payload) на 7-м уровне (например, HTTP, DNS, TLS) и выявлять вредоносное ПО.
Классификация и виды правил
AWS Network Firewall поддерживает два основных подхода к фильтрации трафика:
Stateless (без состояния)
Правила stateless обрабатываются первыми. Они применяются к каждому пакету независимо и не учитывают контекст соединения. Каждое правило содержит:
- Source — IP-адрес или диапазон отправителя.
- Destination — IP-адрес или диапазон получателя.
- Source Port — порт отправителя.
- Destination Port — порт получателя.
- Protocol — протокол (TCP, UDP, ICMP и др.).
- Action — действие (pass — пропустить, drop — отбросить, alert — залогировать и пропустить).
Правила stateless применяются в порядке приоритета (от наиболее специфичного к общему). Если ни одно правило не подходит, применяется действие по умолчанию (обычно drop).
Stateful (с состоянием)
Правила stateful обрабатываются после stateless и учитывают состояние соединения. Они позволяют:
- Разрешать трафик, являющийся частью установленного соединения (например, ответные пакеты).
- Анализировать протоколы прикладного уровня (HTTP, FTP, SMTP) и выявлять аномалии.
- Использовать сигнатуры Suricata для обнаружения вторжений.
Правила stateful также могут быть сгруппированы по доменам (Domain Lists) — например, разрешать или блокировать трафик к определённым DNS-именам.
Применение и возможности
AWS Network Firewall используется для решения следующих задач:
Защита границ VPC
Сервис может быть развёрнут на границе VPC (например, в подсети, через которую проходит весь трафик между VPC и интернетом) или между VPC (в архитектуре с транзитным шлюзом). Он позволяет блокировать нежелательный входящий трафик (например, сканирование портов, DoS-атаки) и контролировать исходящий трафик (например, запрет доступа к определённым сайтам или протоколам).
Обнаружение и предотвращение вторжений (IDS/IPS)
Благодаря поддержке правил Suricata, сервис может анализировать содержимое пакетов на наличие известных сигнатур атак (например, SQL-инъекции, XSS, попытки эксплуатации уязвимостей). Действия могут включать блокировку пакета (prevention) или только логирование (detection).
Фильтрация по доменам
Сервис позволяет блокировать или разрешать трафик к определённым DNS-именам (например, запретить доступ к сайтам с вредоносным ПО или нежелательным ресурсам). Это реализуется через группы правил stateful, где указываются списки доменов.
Централизованное управление
С помощью AWS Firewall Manager можно централизованно развёртывать политики AWS Network Firewall на все VPC в организации (AWS Organization). Это упрощает соблюдение корпоративных стандартов безопасности и требований комплаенса.
Интеграция с мониторингом
Все события фильтрации (логи) могут быть отправлены в Amazon CloudWatch Logs, Amazon S3 или Amazon Kinesis Data Firehose. AWS CloudTrail фиксирует все API-вызовы к сервису. VPC Flow Logs могут быть дополнены метаданными от AWS Network Firewall.
Ограничения и недостатки
Несмотря на преимущества, сервис имеет ряд ограничений:
- Региональная доступность — на момент написания статьи сервис доступен не во всех регионах AWS (в том числе в некоторых регионах РФ через партнёрские зоны доступности).
- Задержки — добавление дополнительного узла фильтрации может увеличить задержку (latency) на несколько миллисекунд, что критично для высоконагруженных приложений.
- Стоимость — сервис тарифицируется отдельно за каждый развёрнутый экземпляр (Firewall) и за объём обработанного трафика. Для больших объёмов трафика стоимость может быть значительной.
- Сложность настройки — для эффективного использования требуется понимание сетевых протоколов, правил Suricata и архитектуры VPC. Неправильная настройка может привести к блокировке легитимного трафика.
- Отсутствие поддержки некоторых протоколов — сервис не поддерживает фильтрацию на уровне приложений для всех протоколов (например, для протоколов, не поддерживаемых Suricata).
Сравнение с другими сервисами AWS
AWS Network Firewall не является единственным сервисом сетевой безопасности в AWS. Основные альтернативы:
- AWS Security Groups — виртуальные межсетевые экраны на уровне экземпляров EC2. Работают на уровне 3-4, поддерживают только stateful правила, но не имеют возможностей IPS/IDS и фильтрации по доменам.
- AWS Network ACLs — списки контроля доступа на уровне подсетей. Работают на уровне 3-4, stateless, не поддерживают анализ содержимого пакетов.
- AWS WAF — веб-экран для защиты веб-приложений (HTTP/HTTPS). Работает на 7-м уровне, но не фильтрует трафик на сетевом уровне.
- AWS Shield — сервис защиты от DDoS-атак. Базовый уровень (Standard) предоставляется бесплатно, Advanced — платный.
- Сторонние решения — межсетевые экраны от партнёров AWS (например, Palo Alto Networks VM-Series, Fortinet FortiGate), которые могут быть развёрнуты в VPC как виртуальные машины.
AWS Network Firewall занимает нишу между простыми Security Groups/Network ACLs и полнофункциональными сторонними решениями, предлагая нативную интеграцию с AWS и управляемую архитектуру.
Интересные факты
- Сервис поддерживает до 10 000 правил в одной группе stateful и до 1000 правил в одной группе stateless.
- Максимальная пропускная способность одного экземпляра Firewall составляет до 100 Гбит/с (в зависимости от региона и типа трафика).
- AWS Network Firewall может быть использован для фильтрации трафика между VPC в одной и той же или разных учётных записях AWS через транзитный шлюз (Transit Gateway).
- Сервис не поддерживает фильтрацию трафика между подсетями внутри одного VPC (east-west traffic) — для этого необходимо использовать Security Groups или Network ACLs.
Источники
- AWS Documentation: AWS Network Firewall Developer Guide
- AWS re:Invent 2020: Launch announcement of AWS Network Firewall
- AWS Security Blog: Deep dive on AWS Network Firewall
- Suricata User Guide: Rule management and compatibility
- AWS Firewall Manager Documentation: Centralized policy management
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →