Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Network FirewallとTransit Gateway統合
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Hibiki
September 09, 2025
440
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Network FirewallとTransit Gateway統合
Hibiki
September 09, 2025
More Decks by Hibiki
See All by Hibiki
[NW-JAWS]2025年版AWS IPv6関連アップデート
hibikisuaga
0
91
CloudWatchでちょっと楽してマルチアカウント監視
hibikisuaga
0
71
EC2→S3で学ぶクロスアカウント権限設計の勘所
hibikisuaga
3
1.1k
NW-JAWS VPC間接続のまとめ
hibikisuaga
0
33
MFA必須化でハマった謎エラー
hibikisuaga
0
50
NW-JAWS ルートテーブルとエンドポイント入門
hibikisuaga
2
800
Amplify_Reactで爆速アプリ開発.pdf
hibikisuaga
0
46
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
55
8.2k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
640
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
620
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
270
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
440
Optimizing for Happiness
mojombo
378
71k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
250
ラッコキーワード サービス紹介資料
rakko
1
3.8M
Color Theory Basics | Prateek | Gurzu
gurzu
0
380
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
Raft: Consensus for Rubyists
vanstee
141
7.6k
Transcript
【マルチアカウントを上手に接続】 Network Firewallを使用した最新のデプロイモデル 須永 響 伊藤忠テクノソリューションズ株式会社
@gravitas580 須永 響 Hibiki Sunaga CTC(伊藤忠テクノソリューションズ株式会社 ) 新卒3年目 業務:AWSインフラ基盤の設計・構築 コミュニティ活動:NW-JAWS運営
:@gravitas580 About Me
@gravitas580 伝えたいこと 本LTでお伝えしたいことは以下の2つです ⚫ Network Firewallのアップデート情報 ⚫ マルチアカウントでのTransit GatewayとNetwork Firewallのデプロイモデル
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 利用するAWSサービスのおさらい Network Firewall • 通信をIPアドレス・ポート番号やドメインでフィルタリングするネットワークセキュリティサービス • 専用のエンドポイントを経由した通信を検査 • 送信元のCIDRごとにルールを変えることも可能
Transit Gateway • 複数のVPCやオンプレミスをハブとして接続・制御するサービス • マルチアカウントでの接続も可能 • マルチアカウントの接続時はResource Access Managerで共有 今回利用するサービスについて、独断と偏見でご説明します 以下のイメージを持っていただけるとこの後の話が少し聞きやすくなるかも
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 アップデート情報 ⚫ Network Firewall を Transit Gateway にネイティブ統合可能に ➢
AWS Network Firewall: Native AWS Transit Gateway support in all regions – AWS ⚫ 2025年7月から全リージョンで利用可能
@gravitas580 アップデートによる変化 Network Firewall専用のVPCを用意していた構成で・・・ ※構成はイメージです。
@gravitas580 アップデートによる変化 Network Firewall専用のVPCが不要になりました! ※構成はイメージです。
@gravitas580 アップデートによる変化(AWSブログ版) システム用VPC Network Firewall用VPC インターネットアウトバウンド用VPC アップデート前: 参考:AWS Network Firewallのデプロイモデル
| Amazon Web Services ブログ
@gravitas580 アップデートによる変化(AWSブログ版) システム用VPC Network Firewall用VPC インターネットアウトバウンド用VPC アップデート後: 参考:AWS Network Firewallのデプロイモデル
| Amazon Web Services ブログ こちらのVPCが不要に!!
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 検証 ⚫ WorkloadアカウントとNetworkアカウントを使用するマルチアカウント構成 ⚫ Workloadアカウント ➢ システムが動くようなアカウント ➢ プライベートサブネットにEC2を配置
⚫ Networkアカウント ➢ インターネットへの経路を集約するアカウント ➢ Transit Gateway、Network Firewall、Internet Gatewayを配置 この構成で動作することを検証
@gravitas580 検証 ⚫ 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成
3. Transit Gatewayルートテーブル作成 4. Network Firewall機能の確認 ⚫ 以下は実施済みの想定 ➢ EC2やNATゲートウェイ等リソースの作成 ➢ Transit Gatewayの作成とアカウント間共有 ※ アタッチメントとルートテーブルは未作成 ➢ ファイアウォールポリシー、ルールグループ(フィルタリング条件)の作成 ※ ホワイトリスト形式で「ctc-g.co.jp」宛の通信を許可
@gravitas580 1. Network Firewall作成 ⚫ Network Firewallの作成画面のアタッチメントタイプで Transit Gateway を指定
➢ 今まではVPCを選択することしかできなかったが、Transit Gatewayを選択できるように ⚫ ファイアウォールポリシーは作成済みのものを選択 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 2. Transit Gatewayアタッチメント作成 ⚫ Networkアカウント、WorkloadアカウントのVPCではVPCアタッチメントを作成 ⚫ Network Firewall用のアタッチメントはNetwork Firewall作成時に自動作成
検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 3. Transit Gatewayルートテーブル作成 ⚫ 3つのTransit Gatewayアタッチメントに対して、それぞれルートテーブルを作成 Destination Target 0.0.0.0/0
Network Firewallアタッチメント Destination Target 0.0.0.0/0 Egress VPCアタッチメント Workload VPCの CIDR Workload VPCアタッチメント Destination Target 0.0.0.0/0 Network Firewallアタッチメント Workload VPC Network VPC Network Firewall 検証の流れ 1. Network Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 4. Networkフィルタリングの確認 ⚫ ホワイトリストの「ctc-g.co.jp」へcurl、フィルタリングがpassされることを確認 ⚫ ホワイトリスト外の「google.com」へcurl、フィルタリングでdropされることを確認 検証の流れ 1. Network
Firewall作成 2. Transit Gatewayアタッチメント作成 3. Transit Gatewayルートテーブル作成 4. Network Firewallフィルタリングの確認
@gravitas580 検証 無事新しい構成でも動作することを確認できました
@gravitas580 アジェンダ 01 02 03 04 アップデート情報のまとめ 検証 まとめ 利用するAWSサービスのおさらい
@gravitas580 まとめ ⚫ Network FirewallをTransit Gatewayアタッチメントに直接紐づけられるようになった ⚫ 統合機能により、専用VPCを作らなくてもいいようになった ➢ VPC設計・構築の負荷が減った
➢ サブネット、ルートテーブルの作成やCIDRの管理の手間が減るように ⚫ (感想)今回の構成はベストプラクティスの一つになるかなと思ってます