顧客がハイブリッド・ネットワーク・アーキテクチャを構築し始めると、VMware Cloud on AWS でデータを保護するために次世代ファイアウォールをどのように活用すればいいのかというご質問をよくいただきます。これは Amazon Web Services(AWS)環境やオンプレミス環境と同様です。

これらの顧客の中には、Checkpoint、Palo Alto Networks、または他のファイアウォールベンダーなどの AWS パートナーネットワーク(APN)ソリューションをすでに活用しており、VMware Cloud on AWS 環境でも同じパートナーソリューションを活用したいと考えている方もいます。

この記事では、VMware Cloud on AWS で次世代ファイアウォールを活用するために必要な設計について説明します。次世代ファイアウォールは、ポート/プロトコルの検査やブロッキングを超えて、アプリケーションレベルの検査を追加するディープ パケット インスペクション ファイアウォールを提供します。

VMware Cloud on AWS のためのネットワーク アーキテクチャ

AWS と VMware が共同開発したハイブリッド クラウド ソリューション「VMware Cloud on AWS」には、すでに「管理ゲートウェイ」と「コンピュート ゲートウェイ」という 2 つのエッジ ファイアウォールが搭載されています。

管理ドメインは、管理ゲートウェイ(MGW)によって保護されており、NSX エッジ セキュリティ ゲートウェイである管理ゲートウェイは、SDDC(Software-Defined Data Center)で動作する vCenter Server と NSX Manager の North-South のネットワーク接続を提供します。

顧客が作成したコンピュート ワークロードを含むコンピュート ドメインは、コンピュート ゲートウェイ(CGW)によって保護されています。これにより、SDDCで実行されている仮想マシン(VM)に North-South のネットワーク接続性が提供されます。

ここでいう「North-South」とは、インターネットから VMware Cloud on AWS との間を行き来するトラフィックを意味します。この記事では、SDDC 内のトラフィックを指す East-West のファイアウォールについては触れません。

VMware Clound on AWS Firewalls-1

Figure 1 – Management and Compute Gateways.

MGW と CGW はどちらもファイアウォール機能を提供しています。しかし現在では、レイヤ 4 (L4) ファイアウォールのみを提供しており、OSI モデルのレイヤ 4 までのトラフィックのみを検査しています。検査できるのは IP アドレス(送信元と送信先)と TCP/UDP ポートのみで、これらの基準に基づいてトラフィックをフィルタリングすることができます。

AWS のセキュリティグループは L4 の仮想ファイアウォールと似ており、動作は同じです。

インターネットに接するアプリケーションやインターネットに接続するトラフィックの場合は、L7 のファイアウォールを利用すると良いでしょう。これは、パケットのペイロードや URL を検査し、コンテンツや URL の宛先が企業のセキュリティポリシーに準拠していない場合、トラフィックを停止させることができるファイアウォールです。

VMware Clound on AWS Firewalls-2

Figure 2 – Differences between L4 and L7 firewalls.

L7 firewalls are sometimes referred to IPS/IDS, context-aware firewalls, next-gen firewalls, application firewalls. Several popular L7 firewall vendors include Palo Alto Networks, Check Point, and Cisco. L7 firewalls are sometimes referred to IPS/IDS, context-aware firewalls, next-gen firewalls, application firewalls. Several popular L7 firewall vendors include Palo Alto Networks, Check Point, and Cisco.

次世代ファイアウォールと VMware Cloud on AWS の統合

次世代ファイアウォールと VMware Cloud on AWS を統合するためのオプションについて説明します。

オプション 1:オンプレミスの次世代ファイアウォールを使用して VMware Cloud on AWS のトラフィックを検査する

データセンターの拡張として VMware Cloud on AWS を使用し、オンプレミスの環境を維持している場合、オンプレミスの Web プロキシとインターネット L7 ファイアウォールでトラフィックを検査したい場合があります。

In that case, it’s pretty straight-forward—advertise the default route over the virtual private network (VPN) or AWS Direct Connect, and all the internet-bound traffic from the VMware Cloud on AWS VMs will go via the on-premises L7 appliance. その場合は、仮想プライベートネットワーク(VPN)や AWS Direct Connect を介してデフォルトのルートをアドバタイズするだけで、VMware Cloud on AWS の VM からのインターネット経由のトラフィックはすべてオンプレミスの L7 アプライアンスを経由することになります。

VMware Clound on AWS Firewalls-3

Figure 3 – Outbound internet traffic inspected by on-premises L7 firewall. 図 3 - オンプレミスの L7 ファイアウォールで検査されるアウトバウンドのインターネットトラフィック

VMware Cloud on AWS で Web に接するアプリケーションを公開したい場合、インターネットに接するルータから VM のパブリック IP をアドバタイズし、そのパブリック IP を VMware Cloud on AWS の VMC の VM のプライベート IP に NAT することができます。

Inbound traffic from an external user will go through the on-premises internet firewall where the destination IP will be NAT’ed to the private IP of VMC-VM and transferred across DX/VPN to VMC-VM. 外部ユーザーからのインバウンドトラフィックは、オンプレミスのインターネットファイアウォールを経由して、宛先IPをVMC-VMのプライベートIPにNATし、DX/VPNを経由してVMC-VMに転送します。

VMware Cloud on AWS Firewalls-4

Figure 4 – Inbound internet traffic inspected by on-premises L7 firewall.

Option 2: Next-gen firewall deployed within a transit VPC in native AWS

オプション2: 次世代ファイアウォールをAWSネイティブのトランジットVPC内に導入

Alternatively, we can leverage the concept of a transit VPC, which is a common strategy for connecting multiple, geographically disperse VPCs and remote networks in order to create a global network transit center. あるいは、地理的に分散した複数のVPCとリモートネットワークを接続してグローバルネットワークのトランジットセンターを構築するための一般的な戦略であるトランジットVPCの概念を活用することもできます。

Transit VPC simplifies network management and minimizes the number of connections required to connect multiple VPCs and remote networks. トランジットVPCは、ネットワーク管理を簡素化し、複数のVPCとリモートネットワークを接続するのに必要な接続数を最小限に抑えます。

VMware Clound on AWS Firewalls-5

Figure 5 – Transit VPC on AWS.

The transit VPC is a “hub VPC” that would connect to “spoke VPCs” via VPN. A next-gen firewall would then be deployed within the transit VPC as an Amazon Elastic Compute Cloud (Amazon EC2) instance. All of the traffic leaving the spoke VPCs travel to the hub/transit VPC and be inspected by the next-gen firewall. トランジットVPCは、VPNを介して「スポークVPC」に接続する「ハブVPC」である。そして、トランジットVPC内にAmazon Elastic Compute Cloud (Amazon EC2)インスタンスとして次世代ファイアウォールを配置します。スポーク VPC を出たトラフィックはすべてハブ/トランジット VPC に移動し、次世代ファイアウォールによって検査されます。

So how’s it work with VMware Cloud on AWS? The VMware Cloud on AWS SDDC would just be another “spoke VPC.” では、VMware Cloud on AWSとの連携はどうなっているのだろうか。VMware Cloud on AWSのSDDCは、別の “スポークVPC “になります。

Remember, the “ENI-Connected VPC” is the one we connected to via the Elastic Network Interface (ENI) when we deployed the SDDC. This is typically used for services such as Active Directory, Amazon FSx, or back-ups using Amazon S3. The ENI-Connected VPC would not be connected to the transit VPC; instead, it remains reachable to the VMware Cloud on AWS SDDC via ENI. SDDCをデプロイしたときにENI(Elastic Network Interface)を介して接続したのが「ENI-Connected VPC」であることを覚えておいてください。これは通常、Active Directory、Amazon FSx、またはAmazon S3を使用したバックアップなどのサービスに使用されます。ENI接続されたVPCはトランジットVPCには接続されず、代わりにENI経由でVMware Cloud on AWS SDDCに到達可能な状態が維持されます。

VMware Clound on AWS Firewalls-6

Figure 6 – Transit VPC with VMware Cloud on AWS. 図6 - AWS上のVMware Cloudを使用したトランジットVPC。

For our testing purposes, we used a Palo Alto Network appliance in our transit VPC. This is the ideal option for customers already using a transit VPC, as VMware Cloud on AWS would just be another spoke. 今回のテストでは、トランジットVPCにPalo Alto Networkアプライアンスを使用しました。これは、VMware Cloud on AWS が別のスポークになるだけなので、すでにトランジット VPC を使用している顧客にとって理想的なオプションです。

All of the traffic from VMware Cloud on AWS to either spoke VPCs or the internet would transit through the secure transit VPC. VMware Cloud on AWS からスポーク VPC またはインターネットへのトラフィックはすべて、安全なトランジット VPC を経由して転送されます。

VMware Cloud on AWS Firewalls-7

Figure 7 – Transit VPC, next-gen firewall, and VMware Cloud on AWS architecture. 図7 - Transit VPC、次世代ファイアウォール、VMware Cloud on AWSのアーキテクチャ

Option 3: Leverage NSX Service Insertion to insert a next-gen firewall

オプション3: NSXサービスの挿入を利用して次世代ファイアウォールを挿入する

This third model is not available yet, but it’s something on our roadmap which you can review here. We are actively working on a feature to insert a virtual next-gen FW through our NSX-T Partner Service Insertion platform. This is nothing new if you’ve followed NSX. It’s been available for years on NSX-V and for a few months on NSX-T. この3つ目のモデルはまだ利用できませんが、ロードマップにはありますので、こちらをご覧ください。NSX-T Partner Service Insertionプラットフォームを介して仮想の次世代FWを挿入する機能に積極的に取り組んでいます。これはNSXを見てきた人であれば、何も目新しいことではありません。NSX-Vでは数年前から、NSX-Tでは数ヶ月前から利用できるようになっています。

When completed, this model provides the following benefits: このモデルが完成すると、以下のようなメリットがあります。

L7 inspection of both outbound and inbound traffic.
Inspect traffic to compute VMs and management VMs.
Faster performance and reduced latency.
    アウトバウンドとインバウンドの両方のトラフィックをL7で検査。
コンピュートVMと管理VMへのトラフィックを検査。
パフォーマンスの高速化とレイテンシーの低減。

Conclusion

Customers who are looking to leverage APN Partner solutions within VMware Cloud on AWS can utilize one of the above-mentioned options to achieve this architecture. VMware Cloud on AWS内でAPNパートナーソリューションの活用を検討しているお客様は、上記のいずれかのオプションを利用して、このアーキテクチャを実現することができます。

This enables customers to perform deep packet inspection for applications running both with VMware Cloud on AWS and for native AWS services. これにより、お客様はVMware Cloud on AWSとネイティブAWSサービスの両方で動作するアプリケーションに対して、ディープパケットインスペクションを実行することが可能になります。

Additional Resources

  • VMware Cloud on AWS website
  • Getting Started guide for VMware Cloud on AWS
  • Getting started with Amazon VPC
  • AWS Transit VPC