AWS Network Firewallが最下位評価

この記事は以下の2024年5月4日の sdxcentral の記事を意訳したものです。

Is the AWS Network Firewall safe? CyberRatings tests reveal concerns
（AWS Network Firewallは安全か？CyberRatingsのテストで懸念が明らかに）

AWS Network Firewallは安全なのか？

クラウドコンピューティングにおけるセキュリティビジネスは非常に大きく、数多くのベンダーの技術が活用されています。

その中で最も一般的な技術のひとつがクラウドネットワークファイアウォールです。通常のファイアウォールと同様に、事前に定義されたセキュリティルールに基づいて、インバウンドとアウトバウンドの両方のネットワークトラフィックを監視および制御します。

非営利テスト機関 CyberRatings について

非営利のテスト機関であるCyberRatingsが最近、Amazon Web Services(AWS)、Barracuda、Check Point、Cisco、Forcepoint、Fortinet、Juniper、Palo Alto Networks、Sophos、Versa Networks、Watchguardなどの複数のクラウドネットワークファイアウォール技術のテストを実施しました。その結果はベンダーごとに異なりました。

テストの結果、Palo Alto Networksの「VM-Series Next Generation Firewall with Advanced Threat Protection」に100%のセキュリティ効果スコアを与えました。
その次に、Versa Networksの次世代ファイアウォール（NGFX）が 99.90%、Check PointのCloudGuardと、ForcepointのNGFWはともに99.80%を獲得しています。

評価最下位はAWS

評価で最も衝撃的だったのは、一部のベンダーの高評価ではなく、むしろ最下位の結果でした。
CyberRatingsはAWS Network Firewallに対して、セキュリティ効果スコアをわずか 5.39% と評価しました。

低スコアの理由は、特定の脆弱性やゼロデイ問題によるものではないとCyberRatingsは述べています。
「ここにはゼロデイはありません」とCyberRatings.orgのCEOであるVikram PhatakはSDxCentralに語りました。
「AWSの問題は、車のエアバッグが機能しないという問題であり、窓を3回叩けば、車に侵入できるというものではありません」

AmazonはCyberRatingsに反論

Phatakは、AWSに懸念を報告し、幹部といくつかの会話を持ったと述べました。しかし、AWSはCyberRatingsによるレビューと技術評価に異議を唱えています。

「AWS Network Firewall は、顧客がネットワークトラフィックに対して細かい制御を行うファイアウォールルールを定義できるように設計されています」と、AWS広報担当はSDxCentralにメールで回答しました。
さらに、「このレポートは不正確で不完全です。顧客はAWS Network Firewall のベストプラクティスガイドを確認し、自分の環境に適したデプロイメントとルールを決定することをお勧めします」とのことでした。

CyberRatingsはAWSの主張を支持し再度検証を実施

Phatakによれば、その後、CyberRatingsはAWS Network Firewall を適切に機能させるために複数の方法を試みました。

彼は、自社がAmazonのサポートから提供された指示に従ったが、それでも全く正常に機能しなかったと述べました。
さらに、CyberRatingsは、Amazon認定コンサルタントを雇って設定を試みましたが、それでも正常に機能することはありませんでした。

そのため、Phatakは、CyberRatingsがAWS社のエンジニアと直接協力してファイアウォールを稼働させようとしたとも述べました。
AWS社エンジニアと直接支援を受けた際に新たに分かったことは、AWSが提供するドキュメントに記載されている方法ではなく、ステートレスファイアウォールルールを削除し、ステートフルファイアウォールにルールを配置する必要があったと言うことです。

Phatakは、ステートレスとステートフルファイアウォールコンポーネント間の引き継ぎが壊れていることが主な問題だと考えています。
これにより、設計通りにルールが適用されないため、エクスプロイトや回避をブロックする際に問題が発生する可能性があることが判明しました。

全体としてPhatakは、自社がクラウドファイアウォール技術の有効性を評価しようとしているだけだと強調した上で、「これはセキュリティの問題ですので、AWSに一定の責任があります」と彼は述べました。

sdxcentral 記事の意訳については以上です。

まとめ

AWS の提供するベストプラクティスガイドが、万全ではないことが明らかになりました。
特に、AWSは、頻繁に機能追加や仕様変更があるので「AWSには、もう辟易している」、「AWSは、もうコリゴリ」との声も聴くことも多くなりましたが、提供されている各種ガイドやベストプラクティスも知らない間に更新されていることも多く、特に重要なセキュリティに関する機能・仕様変更についてキャッチアップするのは本当に大変です。

クラウドを利用する上で、クラウド標準のセキュリティ機能（Firewallなど）を、何の疑いもなく利用されている方が多いですが、今一度見直しをされた方がよいのではないでしょうか？