さっくり説明すると、サードパーティのセキュリティ製品などをAWS上で利用する場合、従来ではNLBを挟んだり、VPC PeeringやTransit Gatewayなどでネットワークをつないでルーティングしたり、NATして連携したりしていたところを、GWLBとGateway Load Balancer Endpoint(GWLBE)を利用することによりシンプルにスケール・可用性・サービス提供のしやすさを向上することが可能になります。
[新サービス]セキュリティ製品等の新しい展開方法が可能なAWS Gateway Load Balancerが発表されたので調査してみた | Developers.IO
そしてこの間の通信はGeneve(Generic Network Virtualization Encapsulation)プロトコルを利用してレイヤー3でカプセル化され、元のトラフィックを加工せずにセキュリティ製品に転送します。パケットを加工しないためセキュリティ製品を透過的に挿入できます。
[新サービス]セキュリティ製品等の新しい展開方法が可能なAWS Gateway Load Balancerが発表されたので調査してみた | Developers.IO
残念ながらセキュリティ製品と連携してバッチリ動かすのが、詳細なドキュメントが出ていなくて簡単にできそうになかったので、Gateway Load BalancerとGateway Load Balancer Endpointを作るところだけやってみました。
[新サービス]セキュリティ製品等の新しい展開方法が可能なAWS Gateway Load Balancerが発表されたので調査してみた | Developers.IO
ちなみに対応リージョンは米国東部(バージニア州北部)、米国西部(オレゴン州)、EU(アイルランド)、アジア太平洋(シドニー)、および南米(サンパウロ)となり、東京はまだ対応していません。(かなしみ
まずはロードバランサーの作成から。作成画面にGateway Load Balancerが追加されています。旧来のClassic Load Balancerの位置にあったため一瞬CLBが無くなったかと思いましたが左下にちゃっかり生きていました。
名前からはぱっとイメージしづらいですが、セキュリティ製品のゲートウェイとなってシンプルに可用性やスケールを実現できるのがAWS Gateway Load Balancerでした。
[新サービス]セキュリティ製品等の新しい展開方法が可能なAWS Gateway Load Balancerが発表されたので調査してみた | Developers.IO
透過的に利用でき、既存の構成よりもかなりシンプルに利用できると思います。
また、PrivateLinkで利用することができるので、利用者のVPCとセキュリティ製品のVPCが別の会社でも安心して利用できそうです。マネージドセキュリティサービスを提供する方法としても活躍しそうです。
実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術
- 作者:Paul Troncone,Carl Albing
- 発売日: 2020/04/21
- メディア: 単行本(ソフトカバー)