Открыть сервис

AWS Network Firewall

AWS Network Firewall — это управляемый облачный сервис, предоставляемый компанией Amazon Web Services (AWS) для обеспечения сетевой безопасности виртуальных частных облаков (VPC). Сервис предназначен для фильтрации входящего, исходящего и проходящего (межсетевого) трафика на уровне сетевых протоколов (3-й уровень модели OSI) и транспортного уровня (4-й уровень), а также для обнаружения и предотвращения вторжений (IPS/IDS) на уровне приложений (7-й уровень). AWS Network Firewall позволяет централизованно управлять политиками безопасности для нескольких VPC, автоматически масштабируется в зависимости от объёмов трафика и не требует развёртывания и обслуживания собственных аппаратных или программных межсетевых экранов.

История

Сервис AWS Network Firewall был анонсирован компанией Amazon Web Services 17 ноября 2020 года на конференции re:Invent. Запуск состоялся 10 декабря 2020 года. До появления этого сервиса пользователи AWS для реализации сетевых экранов в VPC были вынуждены использовать сторонние решения (например, от Palo Alto Networks, Fortinet, Check Point) или самостоятельно развёртывать межсетевые экраны на виртуальных машинах EC2, что требовало дополнительных затрат на управление, масштабирование и обеспечение отказоустойчивости. AWS Network Firewall стал первым нативным управляемым сервисом сетевого экрана от самой AWS, интегрированным с другими сервисами платформы, такими как AWS Firewall Manager, Amazon CloudWatch, AWS CloudTrail и AWS VPC Flow Logs.

Архитектура и принцип работы

AWS Network Firewall развёртывается в отдельной подсети (Firewall Subnet) в каждом VPC, где требуется его использование. Сервис работает как прозрачный шлюз (transparent gateway) — он не изменяет IP-адреса пакетов и не требует настройки маршрутизации на стороне клиента. Вся фильтрация осуществляется на основе правил, заданных в политиках (Firewall Policies), которые могут быть общими для нескольких VPC.

Компоненты сервиса

  • Firewall — экземпляр сервиса, развёрнутый в конкретном VPC. Он связан с одной или несколькими подсетями (Firewall Subnets) и обрабатывает трафик, проходящий через них.
  • Firewall Policy — набор правил, определяющих, какие действия (пропустить, заблокировать, залогировать) должны применяться к трафику, соответствующему определённым критериям. Политики могут быть иерархическими: одна политика может ссылаться на другую (политика-родитель).
  • Rule Group — группа правил, объединённых по типу. Существует три типа групп правил:
  • Stateful Rule Group — правила с отслеживанием состояния соединения (stateful inspection). Позволяют анализировать не только отдельные пакеты, но и весь поток данных (например, разрешить ответы на установленные соединения, даже если они не соответствуют правилам для входящего трафика).
  • Stateless Rule Group — правила без отслеживания состояния (stateless inspection). Применяются к каждому пакету независимо. Обычно используются для базовой фильтрации (например, блокировка определённых IP-адресов или портов).
  • Suricata-compatible Rule Group — группа правил, совместимых с открытой системой обнаружения вторжений Suricata. Позволяет определять сложные сигнатуры атак, анализировать содержимое пакетов (payload) на 7-м уровне (например, HTTP, DNS, TLS) и выявлять вредоносное ПО.

Классификация и виды правил

AWS Network Firewall поддерживает два основных подхода к фильтрации трафика:

Stateless (без состояния)

Правила stateless обрабатываются первыми. Они применяются к каждому пакету независимо и не учитывают контекст соединения. Каждое правило содержит:

  • SourceIP-адрес или диапазон отправителя.
  • Destination — IP-адрес или диапазон получателя.
  • Source Port — порт отправителя.
  • Destination Port — порт получателя.
  • Protocol — протокол (TCP, UDP, ICMP и др.).
  • Action — действие (pass — пропустить, drop — отбросить, alert — залогировать и пропустить).

Правила stateless применяются в порядке приоритета (от наиболее специфичного к общему). Если ни одно правило не подходит, применяется действие по умолчанию (обычно drop).

Stateful (с состоянием)

Правила stateful обрабатываются после stateless и учитывают состояние соединения. Они позволяют:

  • Разрешать трафик, являющийся частью установленного соединения (например, ответные пакеты).
  • Анализировать протоколы прикладного уровня (HTTP, FTP, SMTP) и выявлять аномалии.
  • Использовать сигнатуры Suricata для обнаружения вторжений.

Правила stateful также могут быть сгруппированы по доменам (Domain Lists) — например, разрешать или блокировать трафик к определённым DNS-именам.

Применение и возможности

AWS Network Firewall используется для решения следующих задач:

Защита границ VPC

Сервис может быть развёрнут на границе VPC (например, в подсети, через которую проходит весь трафик между VPC и интернетом) или между VPC (в архитектуре с транзитным шлюзом). Он позволяет блокировать нежелательный входящий трафик (например, сканирование портов, DoS-атаки) и контролировать исходящий трафик (например, запрет доступа к определённым сайтам или протоколам).

Обнаружение и предотвращение вторжений (IDS/IPS)

Благодаря поддержке правил Suricata, сервис может анализировать содержимое пакетов на наличие известных сигнатур атак (например, SQL-инъекции, XSS, попытки эксплуатации уязвимостей). Действия могут включать блокировку пакета (prevention) или только логирование (detection).

Фильтрация по доменам

Сервис позволяет блокировать или разрешать трафик к определённым DNS-именам (например, запретить доступ к сайтам с вредоносным ПО или нежелательным ресурсам). Это реализуется через группы правил stateful, где указываются списки доменов.

Централизованное управление

С помощью AWS Firewall Manager можно централизованно развёртывать политики AWS Network Firewall на все VPC в организации (AWS Organization). Это упрощает соблюдение корпоративных стандартов безопасности и требований комплаенса.

Интеграция с мониторингом

Все события фильтрации (логи) могут быть отправлены в Amazon CloudWatch Logs, Amazon S3 или Amazon Kinesis Data Firehose. AWS CloudTrail фиксирует все API-вызовы к сервису. VPC Flow Logs могут быть дополнены метаданными от AWS Network Firewall.

Ограничения и недостатки

Несмотря на преимущества, сервис имеет ряд ограничений:

  • Региональная доступность — на момент написания статьи сервис доступен не во всех регионах AWS (в том числе в некоторых регионах РФ через партнёрские зоны доступности).
  • Задержки — добавление дополнительного узла фильтрации может увеличить задержку (latency) на несколько миллисекунд, что критично для высоконагруженных приложений.
  • Стоимость — сервис тарифицируется отдельно за каждый развёрнутый экземпляр (Firewall) и за объём обработанного трафика. Для больших объёмов трафика стоимость может быть значительной.
  • Сложность настройки — для эффективного использования требуется понимание сетевых протоколов, правил Suricata и архитектуры VPC. Неправильная настройка может привести к блокировке легитимного трафика.
  • Отсутствие поддержки некоторых протоколов — сервис не поддерживает фильтрацию на уровне приложений для всех протоколов (например, для протоколов, не поддерживаемых Suricata).

Сравнение с другими сервисами AWS

AWS Network Firewall не является единственным сервисом сетевой безопасности в AWS. Основные альтернативы:

  • AWS Security Groups — виртуальные межсетевые экраны на уровне экземпляров EC2. Работают на уровне 3-4, поддерживают только stateful правила, но не имеют возможностей IPS/IDS и фильтрации по доменам.
  • AWS Network ACLs — списки контроля доступа на уровне подсетей. Работают на уровне 3-4, stateless, не поддерживают анализ содержимого пакетов.
  • AWS WAF — веб-экран для защиты веб-приложений (HTTP/HTTPS). Работает на 7-м уровне, но не фильтрует трафик на сетевом уровне.
  • AWS Shield — сервис защиты от DDoS-атак. Базовый уровень (Standard) предоставляется бесплатно, Advanced — платный.
  • Сторонние решения — межсетевые экраны от партнёров AWS (например, Palo Alto Networks VM-Series, Fortinet FortiGate), которые могут быть развёрнуты в VPC как виртуальные машины.

AWS Network Firewall занимает нишу между простыми Security Groups/Network ACLs и полнофункциональными сторонними решениями, предлагая нативную интеграцию с AWS и управляемую архитектуру.

Интересные факты

  • Сервис поддерживает до 10 000 правил в одной группе stateful и до 1000 правил в одной группе stateless.
  • Максимальная пропускная способность одного экземпляра Firewall составляет до 100 Гбит/с (в зависимости от региона и типа трафика).
  • AWS Network Firewall может быть использован для фильтрации трафика между VPC в одной и той же или разных учётных записях AWS через транзитный шлюз (Transit Gateway).
  • Сервис не поддерживает фильтрацию трафика между подсетями внутри одного VPC (east-west traffic) — для этого необходимо использовать Security Groups или Network ACLs.

Источники

  • AWS Documentation: AWS Network Firewall Developer Guide
  • AWS re:Invent 2020: Launch announcement of AWS Network Firewall
  • AWS Security Blog: Deep dive on AWS Network Firewall
  • Suricata User Guide: Rule management and compatibility
  • AWS Firewall Manager Documentation: Centralized policy management

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →