AWS VPC サブネットから中央ファイアウォールへのルート

当社には、3 つのサブネット (WAN (パブリック)、LAN (プライベート)、DMZ (プライベート)) を持つ小規模な VPC があります。私の任務は、WAN サブネットに中央ファイアウォールを設定し、外部へのトラフィックとサブネット間のトラフィックの両方を監視することです。

私の問題は、LAN と DMZ 間のトラフィックの監視です。各サブネットをルーティング テーブルに関連付け、すべての送信トラフィックをファイアウォールに誘導していますが、これは正常に機能しています。残念ながら、AWS ではサブネット間のトラフィックのルートを追加できません。LAN にはこの種の構成を許可しないアプライアンスが含まれているため、VM の「内部」にルーティング ルールを追加しても、問題は部分的にしか解決されません。また、長期的にはこれがさらに問題を引き起こす可能性があると感じています... WAN、LAN、DMZ をそれぞれサブネットではなく VPC にすると解決につながると思いますが、それは VPC のひどい誤用のように思われます。

この問題に対する標準的な AWS ソリューションは何ですか?

編集 1: 典型的な「3 つのゾーンと中央ファイアウォール」ネットワークを設定しようとしています。ファイアウォールは、サブネットと個々のインスタンス間のトラフィックと外部からのトラフィックを監視し、保護することを目的としています。これには次のものが含まれます。

• 異常な接続を監視し、報告してください。(つまり、wiki は hornetq サーバーにアクセスする権限がなく、そのような接続は wiki VM が侵害されたことを示している可能性があります)
• ネットワーク トラフィックのレート制限。(つまり、データベース サーバーはレポート メールを送信できますが、1 秒あたり数百のメールを送信し始めたら、アラートを受け取りたい)
• DDO を検出します。
• ... その他のセキュリティ関連...

これらすべてを AWS ネイティブの方法で実行できるかどうかはわかりませんが、中央ファイアウォールの概念の方が私には自然に感じられます。

編集2:ネットワーク設定の大まかな簡略図

ネットワーク セキュリティ グループと ACL を使用すると、サブネットを適切に分離し、インスタンス間の接続を制御できます。ただし、高度な機能 (レート制限など) を実行できる可能性はわかりません。私のアイデアは、LAN/DMZ サブネット間のトラフィックを完全にカットし、従来のネットワーク構成を使用することです。つまり、すべてのトラフィックをファイアウォール経由でルーティングし、ファイアウォールがそれに対して何が起こるかを決定します。残念ながら、VPC のルーティング テーブルでは、VPC (またはそのサブネット) 内のすべてのトラフィックを中央のファイアウォールにルーティングすることはできません。そこで、AWS を活用してサブネットからのトラフィックをファイアウォールに取得し、その機能を動作させるにはどうすればよいかという疑問が生じます。