Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティグループとネットワークアクセスリストを併用して、上手に通信制御を行うためのベストプ...

Avatar for Shota Shiratori Shota Shiratori
May 19, 2025
0
300

 セキュリティグループとネットワークアクセスリストを併用して、上手に通信制御を行うためのベストプラクティス

NW-JAWS # 16 登壇資料2本目です
Avatar for Shota Shiratori

Shota Shiratori

May 19, 2025
Tweet

More Decks by Shota Shiratori

See All by Shota Shiratori
あなたの通信はどうやってAWSのリソースまで届くか
Avatar for Shota Shiratori shotashiratori
3
820
「一つのVPCを作る」徹底討論
Avatar for Shota Shiratori shotashiratori
6
720
自治体ネットワークとAWSの接続について
Avatar for Shota Shiratori shotashiratori
0
1k
もし90年代の地方住み小学生に14.4Kのモデムを与えたら
Avatar for Shota Shiratori shotashiratori
0
370
re:Invent 2024 Innovation Talks(NET201)で語られた大切なこと
Avatar for Shota Shiratori shotashiratori
0
430
re:Invent 2023終了後~2024年のネットワーク関連のアップデート
Avatar for Shota Shiratori shotashiratori
0
320
現地でMeet Upをやる場合の注意点 〜反省点を添えて〜
Avatar for Shota Shiratori shotashiratori
0
1.1k
歴史と背景から改めて振り返るVPC
Avatar for Shota Shiratori shotashiratori
2
350
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
Avatar for Shota Shiratori shotashiratori
2
1.4k

Featured

See All Featured
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
33
6.6k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
53
11k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k
It's Worth the Effort
Avatar for 3n 3n
184
28k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
160
15k
Making Projects Easy
Avatar for Brett Harned brettharned
116
6.2k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
276
23k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
46
14k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.1k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
38
1.8k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
28
5.3k

Transcript

  1. セキュリティグループとネットワークアクセスリス トを併用して、上手に通信制御を行うための ベストプラクティス Shota SHIRATORI(NW-JAWS) @whitebird_sp #NW_JAWS ※本資料に記載の内容は2025年5月19日12:00(JST)時点のものとなります ※本資料の見解・知見については所属する組織を代表するものではありません

  2. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト(クラウド関連プロダクト) 経歴 2009年入社 ネットワークエンジニア~セールス~現職

    保有資格 しらとり しょうた 好きなAWSサービス Amazon VPC ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024 Japan AWS Top Engineers 2023/2024 Japan AWS All Certifications Engineers 2024 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. コミュニティ AWS Ambassador - Certification All-Star Award 2024/2025 今ハマってるAWS関連 Amazon Q Developer for CLIで ひたすら楽して構築 @whitebird_sp #NW_JAWS

  3. 本日お話しすること・しないこと • 本日お話しすること • セキュリティグループとNACLについて • 本日お話ししないこと @whitebird_sp #NW_JAWS

  4. 本資料のベース資料 https://business.ntt-east.co.jp/content/cloudsolution/ih_column-187.html @whitebird_sp #NW_JAWS ・当社サイトに公開済みのコラムを発表用にリファインしたものになります。

  5. 本題 @whitebird_sp #NW_JAWS

  6. セキュリティグループとネットワークアクセスリスト @whitebird_sp #NW_JAWS ・VPC内で通信制御を行う機能 セキュリティグループとネットワークアク セスリスト(NACL) どちらも送信元とあて先を見て、通信許可 するかどうか判断する機能・・・ 似ている… Powered

    by Amazon Nova Canvas

  7. セキュリティグループ① @whitebird_sp #NW_JAWS ・セキュリティグループは、関連付けられたリソースの通信制御を行う ・複数のリソースに関連付けることも可能 ・送信先(アウトバウンドルールの場合)送信元(インバウンドルールの場合)およびポートを指定 ・ホワイトリスト型で、拒否ルールを設定することは不可 ・インバウンド(外部のリソースから関連付けたリソース)方向と、アウトバウンド(関連付けたリソースから外部 のリソース)方向の二つで設定が可能 ・すべてのルールを評価して通信許可を行いますので、ルールにない通信は拒否

    ・ステートフル型なので、戻りの通信に対して明示的に許可は不要 ・複数のVPCでセキュリティグループを共有することも可能。(2024年アップデート)

  8. セキュリティグループ② @whitebird_sp #NW_JAWS ・絵にすると…こう。

  9. NACL ① @whitebird_sp #NW_JAWS •NACLはサブネットに関連付け。デフォルトでは、すべてのトラフィックが許可。 •サブネットに割り当てられたすべてのインスタンスにルールが適用。 •セキュリティグループと違い、拒否ルールを作ることも可能。 •インバウンド(外部のリソースから関連付けたサブネット)方向と、アウトバウンド(関連付けたサブネットから外部のリソース)方向の 二つで設定が可能。 •NACLルールは1から32,766までの番号が設定され、低い番号のルールから評価。トラフィックがルールに一致すると、そのルー

    ルが適用されそのあとの追加のルールは評価なし •NACLルールに一つも一致しなかった場合は、トラフィックが拒否(暗黙の拒否) •NACLルールはトラフィックがサブネット内でルーティングされる時ではなく、サブネットに出入りするときに評価。 •ステートレスのため、送信先・送信元でそれぞれ使うIPアドレス、ポート、プロトコルについて許可・拒否を設定。 •NACLはRoute 53 Resolverで送受信されるDNSリクエストをフィルターすることは不可。DNSリクエストをフィルターする際 はRoute 53 Resolver DNS Firewallを使用 •その他、NACLは以下の送受信されるトラフィックをフィルターすることは不可 •Amazon DNS •Amazon DHCP •Amazon EC2 インスタンスメタデータ •Amazon ECS タスクメタデータエンドポイント •Windows インスタンスのライセンスアクティベーション •Amazon Time Sync Service (NTPサービス) •VPCルータによる予約済みIPアドレス

  10. NACL ② @whitebird_sp #NW_JAWS ・絵にすると…こう。

  11. 並べて比較 セキュリティグループ ネットワークACL リソースレベルで動作 サブネットレベルで動作 リソースと関連付けられている場合に適用 関連付けられているサブネットにあるすべてのリソー スに適用 許可ルールのみ動作 許可・拒否ルール両方で動作

    すべてのルールを評価して、トラフィックを許可 低い番号のルールから順に評価 ステートフル ステートレス @whitebird_sp #NW_JAWS

  12. SGとNACLのベストプラクティスの前に… ・Well-Architected Frameworkのセキュリティの柱 SEC05-BP01 ネットワークレイヤーを作成する ワークロードコンポーネントをそのデータの機密度とアクセス要件に応じて論理的にグループ化し、そのグループに基づいてネットワークトポロ ジをさまざまなレイヤーに分割します。インターネットからのインバウンドアクセスを必要とするコンポーネント (公開ウェブエンドポイントなど) と、内部アクセスのみを必要とするコンポーネント (データベースなど)

    は区別します。 期待される成果:ネットワークのレイヤーは、ワークロードにおける ID の認証と認可の戦略を補完する多層防御セキュリティアプローチに不可 欠な部分です。データの機密度とアクセス要件に応じてレイヤーが配置され、トラフィックフローと統制のメカニズムが適切に機能しています。 SEC05-BP02 ネットワークレイヤー内のトラフィックフローを制御する ネットワークのレイヤー内でさらにセグメンテーションを行い、各ワークロードに必要なフローのみにトラフィックを制限します。まず、インター ネットや他の外部システムからワークロードや環境へのトラフィック (North-South トラフィック) の制御に着目します。その後、さまざまな コンポーネントとシステム間のフロー (East-West トラフィック) を確認します。 期待される成果:ワークロードのコンポーネントが相互通信や、クライアントや依存先のその他のサービスとの通信に必要とするネットワークフ ローのみを許可します。設計では、パブリックとプライベートの送受信、データ分類、地域の規制、プロトコル要件などが考慮されます。可能な 限り、最小特権の原則に基づく設計の一環として、ネットワークピアリングよりもポイントツーポイントフローを優先します。 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/protecting-networks.html @whitebird_sp #NW_JAWS

  13. SGとNACLのベストプラクティス ・SG NACLのベストプラクティスは次の通り Webサーバー、データベースなど、役割ごとにサブネットを分割する 可能な限りSGとNACLは両方使用する(レイヤーと多層防御) サブネットとNACLの命名規則やタグをそろえる 一つのNACLに多数のルールを入れすぎない AWSのマネージドリソースと通信やインターネット上のリソースと通信を行うサブネットにおいて、IPアドレス範囲の 特定が難しい場合は最低限プロトコルのみを許可する @whitebird_sp

    #NW_JAWS

  14. SGとNACLのアンチパターン ・SG NACLのアンチパターンもたくさんある VPC内部の通信をすべて許可している 受信トラフィックと送信トラフィックのいずれかに制御を適用し、両方に適用はしていない 0.0.0.0/0の許可をEC2インスタンスに付与(基本ALBのみ) 多数のルールを入れすぎて依存性がわからなくなっている(APとDBのSGを同じものを 使う、など) @whitebird_sp #NW_JAWS

  15. SGとNACLに起因するトラブルシューティング VPC Reachability Analyzer AWSSupport-ConnectivityTroubleshooter リソース間の到達性の確認 SSM RunCommandの一つ IPアドレス間

  16. None