セキュリティグループ

• ステートフル(※1)
• IPおよびポート番号による制御
• 無料

※1 通過した後の通信が戻ってくる際は、ルール関係なく許可

ネットワークACL

• ステートレス(※2)
• IPおよびポート番号による制御
• 無料

※2 通過した後の通信が戻ってくる際も、ルールを再評価

AWS WAF

• HTTPリクエストを監視
• ルールを定義し、それを満たす場合に許可・拒否が可能
• 有料(しかし、そこまで高くない)

AWS Shield

• DDoS に対する保護サービス
• Standardはデフォルト有効で透過的(※3)
• Standardは無料、Advancedは有料
  • 追加の検出
  • 緩和策の提供
  • ほぼリアルタイムの可視性の提供

※3 Advancedは未調査

AWS Network Firewall

• VPCに配置可能(但し、ネットワーク経路変更が必要)
• 以下の3種類のルールを定義可能
  • 5-tuple(※4)によるフィルタリング(ステートフル、ステートレス)
  • ドメイン名によるフィルタリング (ステートフル)
  • Suricata互換の侵入防止ルール(ステートフル)
• 有料

※4 送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号、プロトコル

参考リンク

AWSの類似サービスと比較して知るAWS WAF #devio2022 - Speaker Deck
AWS： Amazon VPCユーザーガイド セキュリティグループとネットワークACLを比較する
AWS：Black Belt Online Seminar AWS Network Firewall 入門(PDF)
【AWS初学者向け・図解】AWS WAFとAWS Shieldの違いとは？現役エンジニアがわかりやすく解説 – エンジニア女子の自習室

Amazon Web Servicesネットワーク入門 impress top gearシリーズ

• 作者:大澤文孝
• インプレス

Amazon

要点整理から攻略する『AWS認定 高度なネットワーキング-専門知識』 (Compass Booksシリーズ)

• 作者:NRIネットコム株式会社,佐々木 拓郎,小西 秀和,安藤 裕紀,木美 雄太,早川 愛,宮川 亮,矢野 純平
• マイナビ出版

Amazon

AWS認定ソリューションアーキテクト-プロフェッショナル ~試験特性から導き出した演習問題と詳細解説

• 作者:平山 毅,岡 智也,新村 俊介,岡崎 靖浩,池田 大,澤田 拓也,津山 晃一,鳥谷部 昭寛,早川 愛
• リックテレコム

Amazon