Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230826_SecurityJAWS_NWFW_DNSFW
Search
tsumita
August 26, 2023
Technology
600
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
20230826_SecurityJAWS_NWFW_DNSFW
tsumita
August 26, 2023
More Decks by tsumita
See All by tsumita
AWSさんから1400万円請求された件
tsumita
3
8.8k
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
3
960
20241031_AWS_生成AIハッカソン_GenMuck
tsumita
0
320
20240906_JAWS_Yamanashi_#1_leap_beyond_the_AWS_all_certifications
tsumita
2
770
20230906_CDKJAWS_WhyCDK
tsumita
0
140
20230315_JAWS-UG_朝会_43_LT資料
tsumita
1
630
20230117_JAWS-UG_朝会_41_LT資料
tsumita
0
920
Comparing latency among availability zones
tsumita
0
1.2k
20211209_JAWS-UG_CLI専門支部_239R_LT資料
tsumita
1
980
Other Decks in Technology
See All in Technology
依頼文化をやめる日 EM視点で語るPlatform EngineeringとInclusive SRE / Discussing Platform Engineering and Inclusive SRE from an EM's Perspective
shin1988
4
5.2k
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
2
160
生成AIの活用/high_school2026
okana2ki
0
120
環境凍結という Toil を倒す -セルフサービス型 Ephemeral テスト環境の 設計と実践
shirouz
1
2.2k
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
2.2k
AI Driven AI Governance
pict3
0
330
ボーイスカウトルールでメモリやスキルを改善しよう
azukiazusa1
1
290
オブザーバビリティ、本当に活用できてる? 〜API連携×生成AIで成熟度を自動評価〜
dmmsre
1
2.8k
プロンプト_きのこカンファレンス2026_LT
yurufuwahealer
0
150
しぶいSRE: サーバから見えない障害にどう向き合うか。ラストワンマイルのデバッグ実践 / Shibui SRE
kanny
13
5.9k
貴方はどのエンジニアリングを磨くのか
hatyibei
0
110
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
3
3.5k
Featured
See All Featured
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
From π to Pie charts
rasagy
0
230
RailsConf 2023
tenderlove
30
1.5k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
YesSQL, Process and Tooling at Scale
rocio
174
15k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
650
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
How to Ace a Technical Interview
jacobian
281
24k
Believing is Seeing
oripsolob
1
170
Joys of Absence: A Defence of Solitary Play
codingconduct
1
410
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
260
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
23k
Transcript
AWS Network Firewall && DNS Firewallで解決できること [Security-JAWS DAYS] ~Day1~ 2023.08.26
1
⾃⼰紹介 積⽥ 優⽣ (Tsumita Yuki) Twitter(X): @tsumita7 • 2023 Japan
AWS Ambassador • 2023 Japan AWS Top Engineer • 2023 Japan AWS All Certifications Engineer 好きなAWSサービス AWS Support Amazon EventBridge AWS Fargate 2
はじめに • 本⽇の発表は個⼈的なものであり、所属組織を代表するものではありません。 • 2023/08/25時点の最新情報をもとに記載してあります。 3
本⽇お話ししないこと • VPC, Subnet, SG, NACLなど、基本的な⽤語 • Network FirewallのSuricata互換ルール詳細 •
各ルール/ポリシーの細かな記述⽅法 • デプロイメントモデル • Appendixに参考資料あり 4
アジェンダ • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと
• Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 5
• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •
Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 6
AWS Network Firewallとは︖ 出典︓https://aws.amazon.com/jp/network-firewall/ ざっくり⾔うと、Suricata互換のAWSマネージドなシグネチャ型IPS/IDS 7
• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •
Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 8
AWS Network Firewallできること • IP拒否/許可リスト • Statelessルール(IP, Port, Protocol) •
Statefulルール(IP, Port, Protocol) • FQDNフィルタリング on HTTP/HTTPS • Ingress TLS Inspection • Managed Rules • Suricata互換のIPS/IDSルール パケットフィルタリング • AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • Amazon CloudWatch rule metrics • イベント, ルールベースのメトリクス • Flow, Alertログ • S3, CloudWatch Logs, Kinesis Data Firehose, 3rd partyへのログ出⼒ 可視性 • Domain list rule groups • Threat signature rule groups マネージドルールグループ 9 ⭐=少し詳しくお話しする部分 ⭐ ⭐ ⭐
Statefulデフォルトアクションの動作 Alert all TCP 3wayハンドシェイクを含むAlertログが出⼒される(TLS通信時) 10
Statefulデフォルトアクションの動作 Alert all TCP TLS 11
Statefulデフォルトアクションの動作 Alert established TCP 3wayハンドシェイクを含まないAlertログが出⼒される(TLS通信時) 12
Statefulデフォルトアクションの動作 Alert established TLS 13
SNIで通信先を確認する(設定) Strict rule orderのStatefulルールをAlert à Passの順番でルールを作成 14
SNIで通信先を確認する AlertログをCloudWatch Logsに出⼒した場合、以下のクエリで通信先を確認可能。S3へ出⼒した場合、 Athenaを利⽤することで同様に確認可能 15 SNIの情報をセキュリティ監視やコスト精査などに活⽤可能
TCP, TLSハンドシェイク 出典︓https://www.cloudflare.com/ja-jp/learning/ssl/what-happens-in-a-tls-handshake/ SNI(Server Name Indication)はClientHelloの中に含まれるが、基本的に暗号化されない(※) ※ ESNI(Encrypted SNI)を除く https://www.cloudflare.com/ja-jp/learning/ssl/what-happens-in-a-tls-handshake/
16
ClientHello内のSNIが暗号化されていない様⼦ 17
AWS Network Firewall マネージドルール Threat signature rule groupsはSuricata互換ルールが開⽰されている 18
AWS Network Firewall マネージドルール マネージドルールをコピーして独⾃のルールを作成可能 19
AWS Network Firewall マネージドルール SNS topicを購読することで、Threat signature rule groupsの更新時に通知を受け取ることが可能 à
SNS topicはrule groups共通なので、リージョンで1つ購読しておけばOK 20
AWS Network Firewall マネージドルール Threat signature rule groupsはほぼ毎⽇何かしらのルールが更新されている 21
AWS Network Firewallできないこと できないこと l 暗号化された完全なアウトバウンド検査 l Suricataの⼀部機能 l 完全なドメインベースでのフィルタリング
l TLSインスペクション(⼀部) 22 対策 ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü Suricataをセルフホスト ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü 3rd Partyの製品導⼊︖ ※ 記載の対策は⼀例
• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •
Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 23
Amazon Route 53 Resolver DNS Firewallとは︖ ざっくり⾔うと、Route 53 ResolverのFirewall 24
• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •
Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 25
DNS Firewallできること • ドメインベースフィルタリング • 許可リスト・拒否リスト • 拒否時のカスタムアクション DNSフィルタリング •
AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • ルールごとのCloudWatchメトリクス • S3, CloudWatch Kinesisへのログ送信 可視性 • AWS managed ドメインリスト マネージドリスト 26
DNS Firewallできないこと できないこと l hostsに書かれた宛先の名前解決検査 l IP直接通信の検査 l Route 53
Resolver以外のDNSを指 定した名前解決検査 27 対策 ü hostsファイルの改ざん検知 ü セキュリティグループ, NACLなどでアウトバウンド通信をブロック ü セキュリティグループ, NACLでアウトバウンドのDNSクエリ通信をブロック ※ 記載の対策は⼀例
• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •
Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 28
Tips ü ⾼いぞ︕Network Firewall ü 割引あるぞ︕Network Firewall ü AWS セキュリティ系サービス
まとめ ü セキュリティは1か所で対策すれば盤⽯なのか︖ ü Network Firewall Top 10 best practices 29
⾼いぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ Endpointごとの時間課⾦︓ ü $0.395/時間 トラフィック処理量課⾦︓ ü $0.065/GB
通常 TLSインスペクション Endpointごとの時間課⾦︓ ü $1.095/時間 トラフィック処理量課⾦︓ ü $0.005/GB + $1048.2/⽉(※) ※ 3azにEndpoint作成&100GB/⽇のトラフィック処理時(東京/⼤阪リージョン) $2380.2/⽉(※) 30 $3428.4/⽉(※)
⾼いぞ︕AWS Network Firewall 31
割引あるぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ 32 Network Firewallの時間課⾦/トラフィック処理量課⾦とNAT GWの利⽤料が相殺 ※1 Advanced
Inspectionは対象外(TLS inspection) ※2 相殺されたNAT GWの利⽤料はOrganizationsのアカウント内において、 独⾃アルゴリズムで割引が割り振られるので、別AWSアカウントに割引適⽤される可能性あり
AWS セキュリティ系サービス まとめ 保護適⽤範囲 主要機能 振る舞い AWS Network Firewall Amazon
Route 53 Resolver DNS Firewall VPC Security Group VPC Network ACL AWS WAF OSIレイヤー Stateful/less 保護通信 VPCに紐づくルートレベル • Statelessルール • Statefulルール • IPS/IDSルール • FQDNフィルタリング • Portフィルタリング • Protocolフィルタリング • IPフィルタリング • Deep Packet Inspection • Managed Rules Allow L3 ~ L7 Stateful/less VPC内の全てのインバウンド/ アウトバウンド通信 (ルートテーブル設定必要) VPCに紐づくResolver経由 でのDNSクエリ • ドメインネームベースフィル タリング(Allowリスト, Denyリスト) • カスタムDenyアクション (NXDOMAIN, OVERRIDE, NODATA) • Managed Rules Allow / Deny L7 Stateless アウトバウンドDNSクエリ EC2などに紐づくENIレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow L3~L4 Stateful ENIからの全てのインバウンド /アウトバウンド通信 サブネットレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow / Deny L3~L4 Stateless サブネットからの全てのインバ ウンド/アウトバウンド通信 エンドポイントレベル (Cloud Front, ALB など) • L7レベルフィルタリング • Managed Rules Allow / Deny L7 Stateless エンドポイントへのインバウンド 通信 33
セキュリティは1か所で対策すれば盤⽯なのか︖ 出典︓https://www.youtube.com/watch?v=9zDk-EaMUpc&ab_channel=AWSEvents 34
セキュリティは1か所で対策すれば盤⽯なのか︖ 出典︓https://d1.awsstatic.com/events/Summits/awsreinforce2023/NIS374_Stopping-zero-day-attacks-and-ransomware-with-effective-egress-controls.pdf 35 Network FirewallとDNS Firewallは異なるタイプの通信を保護する ︓DNS Firewallで保護 ︓Network Firewallで保護
Network Firewall Top 10 best practices 出典︓https://www.youtube.com/watch?v=67pVOv3lPlk 36 「AWS re:Inforce
2023 - Policy and Suricata compatible rule creation for AWS Network Firewall (NIS308)」にすべてが記載されている︕︕
まとめ Conclusion. 37
まとめ • Network FirewallはSuricata互換のIPS/IDS • Amazon Route 53 Resolver DNS
FirewallはRoute 53 ResolverのFirewall • マネージドサービス/ルールを活⽤することでクイックにセキュリティ対策可能 • セキュリティ対策は複数のレイヤーで⾏うことが⼤切 38
ご清聴ありがとうございました Thank you for your attention and time. 39
Appendix 40
Network Firewall パケット処理フロー 41 出典︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-rules-engines.html • dropかつTCP通信において、コネクションタイムアウトするまで接続が 切れない •
StatefulかつTCP通信において、rejectも選択可能 すぐにRSTが返却されるため、コネクションタイムアウトを待たずに接続 が切れる Stateless詳細︓https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-action.html Stateful詳細︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-rule-evaluation-order.html
出典︓https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/inspection-deployment-models-with-AWS-network-firewall-ra.pdf AWS Network Firewall デプロイメントモデル 42 AWS Network Firewallデプロイ時は出典のデプロイメントモデルが⾮常に参考になる。
AWS Network Firewall デプロイメントモデル 43 ルートテーブルの設計が⾮常に重要
AWS Network Firewall Ingress TLS inspection • TLSで暗号化されたVPCへのインバウンドトラフィック検査 • ACM,
AWS KMSと統合 • ポート, IP/subnet単位で復号するトラフィック選択 • TLS 1.1 ~ 1.3対応 • HTTP2, Websocket, QUIC未対応 44 出典︓https://d1.awsstatic.com/events/Summits/awsreinforce2023/NIS373_AWS-Network-Firewall-and-DNS-Firewall-security-in-multi-VPC-environments.pdf
DNS Firewall デプロイメントモデル 45 出典︓https://d1.awsstatic.com/events/aws-reinforce-2022/NIS201_An-overview-of-AWS-firewall-services-and-where-to-use-them.pdf