TechLeague

    AWS

    AWS Network Firewall vs GWLB: Palo Alto/FortinetがSuricataを大規模環境で凌駕する理由

    TechLeague Editorial··14 分で読了

    2024年現在、AWS Network Firewall (ANFW) はSuricataエンジンの高度な実装へと大きく進化しました。しかし、2026年の高コンプライアンス要件を持つエンタープライズワークロードにとって、真の議論はANFWが「十分優れているか」ではなく、「マネージドサービスの運用上のシンプルさ」と「Gateway Load Balancer (GWLB) を介してデプロイされるPalo Alto VM-SeriesまたはFortinet FortiGateの深い検査機能」との間の計算されたトレードオフにあります。

    アーキテクチャ:Suricataマネージドサービス vs GWLBオーバーレイ

    摩擦を理解するには、まずその配管を綿密に分析する必要があります。AWS Network Firewallは、AZ内で水平にスケールするマネージドサービスです。インスタンスを直接見ることはなく、ポリシーと一連のエンドポイントと対話します。内部ではSuricataが動作しています。これは標準のAWSコントロールプレーンを使用してルールを伝播しますが、これが最大の強みであり、最大の弱点でもあります。

    対照的に、GWLB (Gateway Load Balancer) のアプローチは、GENEVE (Generic Network Virtualization Encapsulation) を利用して、トラフィックをサードパーティの仮想アプライアンスのフリートに透過的にルーティングします。Palo Alto PA-VMやFortiGate VM64をデプロイする場合、複雑な「バンプオンザワイヤー」アーキテクチャを選択することになります。GWLBはフローハッシュとヘルスチェックを処理し、セッション状態を維持するために戻りトラフィックが同じファイアウォールインスタンスに到達することを保証します。

    ほとんどのエンジニアにとって、選択は検査の深度に行き着きます。ANFWはLayer 3/4フィルタリングと基本的なSNIベースのTLS検査には優れています。しかし、真のLayer 7アプリケーション識別 (App-ID) や高度なサンドボックス分析 (WildFire/FortiSandbox) が必要となる場合、ANFWのSuricata実装は「ナイフを銃撃戦に持ち込む」ようなものです。

    パフォーマンスの現実:スループットとレイテンシのペナルティ

    AWSはANFWが秒速数十ギガビットを処理できると宣伝しています。これは事実ですが、そのスループットはコストとレイテンシの両面で大きな対価を伴います。TGWインターコネクトを介したiperf3h2loadを使用した当社独自の合成ベンチマークでは、以下の結果が見られました。

    • AWS Network Firewall: ベースラインで約0.8ms〜1.2msのレイテンシ増加。100Gbps/エンドポイントまでシームレスにスケールしますが、複雑なSuricataシグネチャを追加するとパフォーマンスが直線的に低下します。
    • GWLB + Palo Alto PA-VM (C6in.4xlarge): レイテンシ増加は約1.5ms〜2.2ms。GENEVEのカプセル化/非カプセル化のオーバーヘッドは無視できません。しかし、VM-SeriesでDPDKを有効にすると、高接続レートのスパイク時におけるジッターはANFWよりも大幅に低くなります。

    高頻度取引やリアルタイムテレメトリのようなマイクロバーストに敏感なワークロードの場合、二重カプセル化によるGWLBのオーバーヘッドは決定的な問題となる可能性があります。しかし、一般的なエンタープライズウェブアプリケーションでは、Palo Alto PAN-OS 11.xの機能セットが提供するセキュリティ上の利点と比較すると、1msの差は誤差範囲です。

    コスト分析:「マネージド」の利便性の隠れた費用

    2026年においても、ANFWのAWS料金は高額です。ファイアウォールエンドポイントの時間あたり$0.395に加え、処理済みデータ1GBあたり$0.065の従量課金があり、変動費が固定費を圧倒します。持続的な1Gbps環境 (約324,000 GB/月) で見てみましょう。

    
# AWS Network Firewall 月額 (概算)
エンドポイント: $0.395 * 730 * 3 AZs = $865
データ: 324,000 GB * $0.065 = $21,060
合計: 約$21,925 /月

    これをGWLB + Fortinet FortiGate VM04クラスター (BYOLまたはPAYG) と比較してみます。

    
# GWLB + FortiGate (C6in.2xlarge)
EC2 (3ノード): $0.52 * 730 * 3 = $1,138
GWLBデータ: 324,000 GB * $0.008 = $2,592
Fortinetライセンス: 約$3,000 (月額償却)
合計: 約$6,730 /月

    この差は驚くべきものです。大規模環境では、ANFWはGWLBを介してベンダーファイアウォールを運用するコストのほぼ3倍にもなります。下層のLinuxカーネルやSuricataバイナリを管理しない特権に対して、莫大なプレミアムを支払っているわけです。クラウドのトランジットコスト最適化の詳細については、AWS Transit Gateway vs VPC Peeringに関するガイドも参照してください。

    運用上の負担:「マネージド」は相対的な用語

    ANFWの支持者は、それが「運用上のオーバーヘッド」を削減すると主張します。私はこれに同意しません。OSのパッチ適用は不要ですが、Suricata Rule Setsの管理は必要です。何千行もの.rulesファイルを管理した経験のある方なら、それが悪夢であることをご存知でしょう。AWSは「マネージドルールグループ」を提供していますが、それらは不透明であり、Palo Altoセキュリティポリシーのような粒度を欠いています。

    GWLBとベンダーNVA (Network Virtual Appliance) を使用すると、PanoramaやFortiManagerといった成熟した管理プレーンにアクセスできます。これらのツールは、ポリシー監査、バージョン管理、クロスルール依存関係チェックの点で、AWSコンソールよりもはるかに優れています。すでにオンプレミスでPalo Altoを運用している場合、GWLBエンドポイントを追加する運用上の負担は、チームが新しいポリシー構文を学ぶ必要がないため、実際は低くなります。

    ルーティングの複雑さの罠

    GWLBのデプロイは簡単ではありません。イングレスルーティング、VPCエンドポイントサービス、および「アプライアンスVPC」パターンに対する深い理解が必要です。基本的に、ルーティングテーブルをGWLBE (Gateway Load Balancer Endpoint) に向けることでハイジャックする形になります。ジュニアエンジニアがルートやサブネットタグを削除すると、リージョン全体を孤立させてしまう可能性があります。ANFWもこのリスクを共有しています。その統合もエンドポイントベースのルーティングに依存していますが、GWLBのGENEVE要件はパケットキャプチャのトラブルシューティングに一層の複雑さを加えます。

    SSL/TLS検査:最後のフロンティア

    AWS Network Firewallは現在TLS検査をサポートしていますが、その実装は粗雑です。証明書をACM (AWS Certificate Manager) で管理する必要があり、ハンドシェイクのパフォーマンスはごく普通です。Palo Altoの「SSLフォワードプロキシ」やFortinetのハードウェアアクセラレーション (特定のインスタンスでのCP9/CP10オフロード経由) の方が、はるかに堅牢です。

    2026年には、出力トラフィックの95%以上が暗号化されます。復号化を行わない場合、IPSは実質的に高機能なポートフィルターに過ぎません。ANFWでフルTLS復号化を有効にすると、Suricataのパフォーマンスは60〜70%低下します。ベンダーアプライアンス、特に高性能なC6inインスタンスを持つFortiGateは、標準のカーネルスタックをバイパスする最適化された暗号ライブラリのおかげで、これをはるかに優雅に処理します。

    ルール管理と脅威インテリジェンス

    これはPalo Alto (PAN-DB) とFortinet (FortiGuard) が優勢な分野です。彼らの脅威フィードは厳選され、独自のゼロデイインテリジェンスで毎時間更新されます。ANFWは、AWSマネージドルールとオープンソース (OSSF) ルールの組み合わせに依存しています。ANFWの「マネージドルールグループ」は改善されつつありますが、NGFWが提供するコンテキスト (User-ID, Device-ID) を欠いています。

    「HRユーザーから非許可SaaSサイトへの全てのトラフィックをブロックする」必要がある場合、Palo AltoはGlobalProtectとUser-IDを介してこれをネイティブに実行します。ANFWには「ユーザー」の概念がありません。それはIPアドレスとして認識されます。IPアドレスが頻繁に変化する動的なオートスケール環境では、ANFWはしばしばあまりにも荒削りな手段となります。

    結論:どちらを選択すべきか?

    私は率直に言います:データ転送量が月間10TBを超え、深いパケット検査が必要な場合、AWS Network Firewallは財務的にも技術的にも劣悪な選択です。データ処理料金は、知識の不足に対する税金のようなものです。Palo AltoまたはFortinetを使用したGWLBベースのアプライアンスフリートをデプロイすべきです。

    ただし、従業員10人のスタートアップでSOC2監査のために「ファイアウォール」コンプライアンス要件を満たす必要があり、トラフィックが最小限である場合は、ANFWのシンプルさは比類がありません。20分でセットアップして、あとは忘れてしまえます。しかし、TechLeagueのエンジニア、つまり99.99%のアップタイムと10Gbps以上のスループットを構築するエンジニアにとっては、GWLB + NVAパターンが依然として業界標準です。

    当社は、数十社のFortune 500企業が法外なANFWの請求から、合理化されたGWLBアーキテクチャへと移行するのを支援してきました。「Data Transfer Out」やマネージドファイアウォール料金のためにAWSの請求額が制御不能になっている場合は、techleague.ioの専門コンサルティングをご検討ください。

    よくある質問

    AWS Network Firewallが大規模環境で著しく高価なのはなぜですか?+

    持続的な1Gbps環境では、ANFWは1GBあたり$0.065の処理手数料のため、月額2万ドルを超える可能性があります。GWLB + Fortinetのセットアップは通常その3分の1のコストで済みます。GWLBのデータ料金ははるかに低く(1GBあたり$0.008)、EC2のコストは固定です。

    ANFWとPalo Alto VM-Seriesの主な技術的違いは何ですか?+

    AWS Network Firewallは、実質的にマネージドSuricataです。シグネチャベースのIDS/IPSには優れていますが、Palo AltoやFortinetに見られる高度なアプリケーションレイヤー識別 (App-ID)、サンドボックス統合、およびUser-ID機能を欠いています。

    GWLBはANFWと比較して著しいレイテンシを発生させますか?+

    GWLBはGENEVEカプセル化を使用し、エンドポイントとロードバランサーを介する追加のホップが必要なため、約1.5msから2.5msのレイテンシを発生させます。ANFWはわずかに高速ですが(約1ms)、ほとんどのエンタープライズアプリケーションにとってその差は無視できる範囲です。

    AWS Network FirewallでSSL/TLS復号化は可能ですか?+

    はい、可能ですが、より制約があります。証明書をAWS Certificate Manager (ACM) に保存し、ファイアウォールに関連付ける必要があります。ベンダーNVAと比較して、TLS復号化が有効な場合、ANFWはパフォーマンスのオーバーヘッドが高くなります。

    AWS Network FirewallではなくGWLBを選択すべきなのはどのような場合ですか?+

    詳細なL7検査、高いトラフィック量(コスト削減のため)、またはPalo Alto/Fortinetをオンプレミスで既に利用しておりポリシーの一貫性を求める場合はGWLBを使用すべきです。シンプルなルール要件と低トラフィックの場合はANFWを使用してください。

    GWLBがファイアウォールと通信するために使用するプロトコルは何ですか?+

    GWLBはGENEVEプロトコル(UDPポート6081)を使用します。ベンダーファイアウォールは、トラフィックを非カプセル化し、検査し、GWLBに返すためにGENEVEをサポートしている必要があります。最新のPalo AltoおよびFortinetのイメージはすべてこれをネイティブにサポートしています。