Gateway Load Balancer(GWLB)とは?サードパーティ FW を透過挿入
GWLB は L3(IP パケット)レベルで動くロードバランサー。Palo Alto・Fortinet・Check Point などのサードパーティ仮想セキュリティアプライアンス(FW/IPS/IDS)を、VPC 内の通信経路に 透過的に挿入できる。トラフィックは見た目に変...
サードパーティ製の仮想セキュリティアプライアンス(FW/IPS/IDS)を、トラフィックの透過挿入で利用できる L3 ロードバランサー。
1. 概要(端的に)
GWLB は L3(IP パケット)レベルで動くロードバランサー。Palo Alto・Fortinet・Check Point などのサードパーティ仮想セキュリティアプライアンス(FW/IPS/IDS)を、VPC 内の通信経路に 透過的に挿入できる。トラフィックは見た目に変わらず、裏でセキュリティ検査を経由する。
2. 何ができるか
- L3 透過プロキシ:IP パケットをそのままセキュリティアプライアンスへ転送
- GENEVE プロトコル:UDP 6081 で元パケットをカプセル化して中継
- マネージド負荷分散:複数のアプライアンスインスタンスへ自動分散
- ヘルスチェック:異常なアプライアンスを自動的に外す
- GWLB Endpoint(GWLBe):他 VPC からも利用可(マルチアカウントでセキュリティ集約)
3. 特徴
| 観点 | 特徴 |
|---|---|
| レイヤー | L3 / L4(IP パケット) |
| 用途 | サードパーティ FW/IPS/IDS の透過挿入 |
| プロトコル | GENEVE(UDP 6081) |
| 対象アプライアンス | Palo Alto VM-Series, Fortinet FortiGate, Check Point CloudGuard 他 |
| マルチアカウント対応 | GWLB Endpoint(GWLBe)経由で実現 |
| 設置場所 | VPC のセキュリティ専用 VPC(ハブ&スポーク構成) |
ALB/NLB との違い
| 観点 | GWLB | ALB | NLB |
|---|---|---|---|
| レイヤー | L3 | L7 | L4 |
| 目的 | セキュリティアプライアンス挿入 | Web/API 振り分け | 高速 TCP/UDP |
| エンドユーザーが直接利用 | × | ○ | ○ |
4. 仕組み
GWLB は 「セキュリティ VPC」と「アプリ VPC」をハブ&スポークで繋ぐ 構成で動く。
構成要素
- GWLB:セキュリティ VPC に配置
- ターゲットグループ:FW/IPS アプライアンス(EC2)の集合
- GWLB Endpoint(GWLBe):他 VPC に配置するエンドポイント
- GENEVE トンネル:パケットカプセル化
- ルートテーブル:GWLBe を経由するように設定
動作の流れ
- クライアントから VPC 内のサーバーへトラフィック発生
- ルートテーブルが「GWLBe を経由」するよう指示
- パケットが GWLBe へ → GWLB を経由 → セキュリティアプライアンスへ
- アプライアンスが検査(FW/IPS/IDS)→ OK なら GWLB へ戻す
- GWLB が元の宛先へ転送
- クライアント↔サーバーから見れば 透過的にセキュリティ検査が挟まる
マルチアカウント構成
セキュリティチームが管理する 集中型セキュリティ VPC に GWLB を配置し、各アプリ VPC は GWLBe 経由で接続。1 セキュリティチームで全社のトラフィックを検査する設計が可能。
5. ユースケース
ユースケース 1:サードパーティ FW の透過挿入
オンプレで使い慣れた Palo Alto FW を AWS 上でも使いたい時。
ユースケース 2:マルチアカウントのセキュリティ集約
セキュリティ部門が中央 VPC で全社トラフィックを検査。
ユースケース 3:IDS/IPS による侵入検知
攻撃検知のために全パケットをスキャン。
ユースケース 4:規制対応
金融・医療など、規制要件で「全トラフィックの検査ログ保持」が必要な時。
6. 関連用語
- ELB — GWLB を含む LB の総称
- ALB / NLB — 比較対象(用途が異なる)
- VPC — GWLB が配置されるネットワーク
- Network-Firewall — AWS マネージド FW(GWLB と用途が近い領域もある)
- Transit-Gateway — マルチ VPC のセキュリティルーティング
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | − | 出題なし |
| SAA | 中 | 「サードパーティ FW を透過的に挿入したい」シナリオで GWLB が選択肢 |
| DVA | − | 出題なし |
| SOA | 低 | セキュリティ運用の文脈で稀に |