20180920 セキュリティグループとNACL

セキュリティグループとNACL 2018/9/20 Thu Masaru Ogura

• 小倉大 (おぐらまさる) Facebook : https://www.facebook.com/masaru.ogura.71 Twitter :
@MasaruOgura • 株式会社サーバーワークス • 札幌在住 • 以前はデータセンターネットワーク運用 • AWS歴 2年10か月自己紹介

今日の内容 • セキュリティグループとNACL • クイズ

セキュリティグループとNACL 20180418 AWS Black Belt Online Seminar Amazon VPC https://www.slideshare.net/AmazonWebServicesJapan/20180418-aws-black-belt-online-seminar-amazon-vpc

セキュリティグループとNACL AWS ドキュメント » Amazon VPC » ユーザーガイド » セキュリティ
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Security.html

セキュリティグループの上限 AWS サービス制限 https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_service_limits.html 日本語サイトだと50

セキュリティグループの上限 AWS Service Limits https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html 英語サイトだと60

セキュリティグループの上限マネジメントコンソールでは60 実際に60ルール設定できる

セキュリティグループの上限セキュリティグループの上限緩和は可能だが、以下の条件がある (SGルール数) × (ENIあたりのSG) ≦ 300 SG :
セキュリティグループ ENI : ネットワークインターフェイス例) (SGルール数)100 × (ENIあたりのSG) 3 = 300 ≦ 300

セキュリティグループの動きセキュリティグループのルールの削除は接続中の通信は即時ブロックできない。例えば、pingを対象サーバに実行し続けているときにセキュリティグループの対象ルールを削除してもpingは通り続ける。

セキュリティグループの動きおそらくステートフルの処理のため。 (明確に記載されているサイト見つけられず) ステートフルで処理するときはセッションテーブルを保持して、戻りの通信をチェックするので、セッションテーブルがクリアされる前に通信がくると通過してしまうのではと考えています。

今日の内容 • セキュリティグループとNACL • クイズ

クイズ Rule # Type Protocol Port Range Source Allow/De ny
100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Rule # Type Protocol Port Range Destinati on Allow/De ny 100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Type Protocol Port Range Source ALL Traffic ALL ALL 0.0.0.0/0 Type Protocol Port Range Destination ALL Traffic ALL ALL 0.0.0.0/0 NACL Inbound Rules NACL Outbound Rules SG1 Inbound Rules SG1 Outbound Rules

クイズ1 Rule # Type Protocol Port Range Source Allow/De ny
100 HTTP(80) TCP(6) 80 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Rule # Type Protocol Port Range Destinati on Allow/De ny 100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Type Protocol Port Range Source ALL Traffic ALL ALL 0.0.0.0/0 Type Protocol Port Range Destination ALL Traffic ALL ALL 0.0.0.0/0 NACL Inbound Rules NACL Outbound Rules SG1 Inbound Rules SG1 Outbound Rules

100 HTTP(80) TCP(6) 80 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Rule # Type Protocol Port Range Destinati on Allow/De ny 100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Type Protocol Port Range Source HTTP(80) TCP(6) 80 0.0.0.0/0 Type Protocol Port Range Destination ALL Traffic ALL ALL 0.0.0.0/0 NACL Inbound Rules NACL Outbound Rules SG1 Inbound Rules SG1 Outbound Rules

100 HTTP(80) TCP(6) 80 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Rule # Type Protocol Port Range Destinati on Allow/De ny 100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Type Protocol Port Range Source HTTP(80) TCP(6) 80 0.0.0.0/0 Type Protocol Port Range Destination NACL Inbound Rules NACL Outbound Rules SG1 Inbound Rules SG1 Outbound Rules

100 HTTP(80) TCP(6) 80 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Rule # Type Protocol Port Range Destinati on Allow/De ny 100 HTTP(80) TCP(6) 80 0.0.0.0/0 ALLOW * ALL Traffic ALL ALL 0.0.0.0/0 DENY Type Protocol Port Range Source HTTP(80) TCP(6) 80 0.0.0.0/0 Type Protocol Port Range Destination NACL Inbound Rules NACL Outbound Rules SG1 Inbound Rules SG1 Outbound Rules

* ALL Traffic ALL ALL 0.0.0.0/0 DENY Rule # Type Protocol Port Range Destinati on Allow/De ny * ALL Traffic ALL ALL 0.0.0.0/0 DENY Type Protocol Port Range Source HTTP(80) TCP(6) 80 0.0.0.0/0 Type Protocol Port Range Destination ALL Traffic ALL ALL 0.0.0.0/0 NACL Inbound Rules NACL Outbound Rules SG1 Inbound Rules SG2 Outbound Rules

ご清聴ありがとうございました。

参考資料 • 20180418 AWS Black Belt Online Seminar Amazon VPC
https://www.slideshare.net/AmazonWebServicesJapan/20 180418-aws-black-belt-online-seminar-amazon-vpc • AWS サービス制限 https://docs.aws.amazon.com/ja_jp/general/latest/gr/aw s_service_limits.html • AWS Service Limits https://docs.aws.amazon.com/general/latest/gr/aws_serv ice_limits.html

参考資料 • AWS ドキュメント » Amazon VPC » ユーザーガイド »
セキュリティ https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide /VPC_Security.html

20180920 セキュリティグループとNACL

20180920 セキュリティグループとNACL

Masaru Ogura

More Decks by Masaru Ogura

Other Decks in Technology

Featured

Transcript

セキュリティグループとNACL 2018/9/20 Thu Masaru Ogura

• 小倉大 (おぐらまさる) Facebook : https://www.facebook.com/masaru.ogura.71 Twitter :

今日の内容 • セキュリティグループとNACL • クイズ

今日の内容 • セキュリティグループとNACL • クイズ

セキュリティグループとNACL 20180418 AWS Black Belt Online Seminar Amazon VPC https://www.slideshare.net/AmazonWebServicesJapan/20180418-aws-black-belt-online-seminar-amazon-vpc

セキュリティグループとNACL AWS ドキュメント » Amazon VPC » ユーザーガイド » セキュリティ

セキュリティグループの上限 AWS サービス制限 https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_service_limits.html 日本語サイトだと50

セキュリティグループの上限 AWS Service Limits https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html 英語サイトだと60

セキュリティグループの上限マネジメントコンソールでは60 実際に60ルール設定できる

セキュリティグループの上限セキュリティグループの上限緩和は可能だが、以下の条件がある (SGルール数) × (ENIあたりのSG) ≦ 300 SG :

今日の内容 • セキュリティグループとNACL • クイズ

クイズ Rule # Type Protocol Port Range Source Allow/De ny

クイズ1 Rule # Type Protocol Port Range Source Allow/De ny

クイズ1 Rule # Type Protocol Port Range Source Allow/De ny

クイズ2 Rule # Type Protocol Port Range Source Allow/De ny

クイズ2 Rule # Type Protocol Port Range Source Allow/De ny

クイズ3 Rule # Type Protocol Port Range Source Allow/De ny

クイズ3 Rule # Type Protocol Port Range Source Allow/De ny

クイズ4 Rule # Type Protocol Port Range Source Allow/De ny

クイズ4 Rule # Type Protocol Port Range Source Allow/De ny

クイズ5 Rule # Type Protocol Port Range Source Allow/De ny

クイズ5 Rule # Type Protocol Port Range Source Allow/De ny

ご清聴ありがとうございました。

参考資料 • 20180418 AWS Black Belt Online Seminar Amazon VPC

参考資料 • AWS ドキュメント » Amazon VPC » ユーザーガイド »