Dev Classmethod Jp Aws Network Firewall Sni
AWS Network FirewallでTLSインスペクションを有効化せずRoute 53 DNS Firewallと組み合わせてSNIスプーフィングを緩和しようとしてみた
- URL: https://dev.classmethod.jp/articles/aws-network-firewall-sni-spoofing-mitigation-without-tls-inspection/
- 日付: 2026-06-11
- Tier: Tier 2
- 要旨: TLSインスペクション無しでNetwork FirewallのSNIスプーフィング脆弱性を緩和する構成を検証。Route 53 DNS FirewallとNetwork Firewallステートフルルールを組み合わせることで特定パターンは防御できるが、「許可済みドメインを詐称したSNI偽装」は防げないという正直な結論。
詳細
前提の課題:TLSインスペクションはランニングコストが固定料金で約2.7倍増加し、CA証明書の配布管理負担も重い。Network Firewall Proxyは2026/6/11時点でGA前。
緩和構成の2要素:
- Route 53 DNS Firewall: 名前解決できるドメインをAllowリストで制限(悪意ある接続先IPの取得を阻止)
- Network Firewallステートフルルール: セルフマネージドDNS以外への名前解決を遮断(外部DNS経由の迂回を防止)+ 許可ドメインのSNI/Hostヘッダーのみ通過
防げるパターン: 許可外ドメインへのアクセス、許可外ドメインを使ったSNI詐称、IPアドレス直接指定
防げないパターン: IPアドレス直接指定 + 許可済みドメインを詐称したSNI/Hostヘッダー(SNIは自己申告値のためTLSインスペクション無しでは原理的に不可能)
運用上のネック: Network FirewallとDNS Firewallで許可ドメインを二重管理が必要。完全な対策にはNetwork Firewall ProxyかSquidなどのHTTP Proxyが必要。