Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20230826_SecurityJAWS_NWFW_DNSFW

tsumita
August 26, 2023

 20230826_SecurityJAWS_NWFW_DNSFW

tsumita

August 26, 2023
Tweet

More Decks by tsumita

Other Decks in Technology

Transcript

  1. ⾃⼰紹介 積⽥ 優⽣ (Tsumita Yuki) Twitter(X): @tsumita7 • 2023 Japan

    AWS Ambassador • 2023 Japan AWS Top Engineer • 2023 Japan AWS All Certifications Engineer 好きなAWSサービス AWS Support Amazon EventBridge AWS Fargate 2
  2. 本⽇お話ししないこと • VPC, Subnet, SG, NACLなど、基本的な⽤語 • Network FirewallのSuricata互換ルール詳細 •

    各ルール/ポリシーの細かな記述⽅法 • デプロイメントモデル • Appendixに参考資料あり 4
  3. アジェンダ • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと

    • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 5
  4. • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •

    Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 6
  5. • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •

    Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 8
  6. AWS Network Firewallできること • IP拒否/許可リスト • Statelessルール(IP, Port, Protocol) •

    Statefulルール(IP, Port, Protocol) • FQDNフィルタリング on HTTP/HTTPS • Ingress TLS Inspection • Managed Rules • Suricata互換のIPS/IDSルール パケットフィルタリング • AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • Amazon CloudWatch rule metrics • イベント, ルールベースのメトリクス • Flow, Alertログ • S3, CloudWatch Logs, Kinesis Data Firehose, 3rd partyへのログ出⼒ 可視性 • Domain list rule groups • Threat signature rule groups マネージドルールグループ 9 ⭐=少し詳しくお話しする部分 ⭐ ⭐ ⭐
  7. AWS Network Firewallできないこと できないこと l 暗号化された完全なアウトバウンド検査 l Suricataの⼀部機能 l 完全なドメインベースでのフィルタリング

    l TLSインスペクション(⼀部) 22 対策 ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü Suricataをセルフホスト ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü 3rd Partyの製品導⼊︖ ※ 記載の対策は⼀例
  8. • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •

    Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 23
  9. • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •

    Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 25
  10. DNS Firewallできること • ドメインベースフィルタリング • 許可リスト・拒否リスト • 拒否時のカスタムアクション DNSフィルタリング •

    AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • ルールごとのCloudWatchメトリクス • S3, CloudWatch Kinesisへのログ送信 可視性 • AWS managed ドメインリスト マネージドリスト 26
  11. DNS Firewallできないこと できないこと l hostsに書かれた宛先の名前解決検査 l IP直接通信の検査 l Route 53

    Resolver以外のDNSを指 定した名前解決検査 27 対策 ü hostsファイルの改ざん検知 ü セキュリティグループ, NACLなどでアウトバウンド通信をブロック ü セキュリティグループ, NACLでアウトバウンドのDNSクエリ通信をブロック ※ 記載の対策は⼀例
  12. • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと •

    Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 28
  13. Tips ü ⾼いぞ︕Network Firewall ü 割引あるぞ︕Network Firewall ü AWS セキュリティ系サービス

    まとめ ü セキュリティは1か所で対策すれば盤⽯なのか︖ ü Network Firewall Top 10 best practices 29
  14. ⾼いぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ Endpointごとの時間課⾦︓ ü $0.395/時間 トラフィック処理量課⾦︓ ü $0.065/GB

    通常 TLSインスペクション Endpointごとの時間課⾦︓ ü $1.095/時間 トラフィック処理量課⾦︓ ü $0.005/GB + $1048.2/⽉(※) ※ 3azにEndpoint作成&100GB/⽇のトラフィック処理時(東京/⼤阪リージョン) $2380.2/⽉(※) 30 $3428.4/⽉(※)
  15. 割引あるぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ 32 Network Firewallの時間課⾦/トラフィック処理量課⾦とNAT GWの利⽤料が相殺 ※1 Advanced

    Inspectionは対象外(TLS inspection) ※2 相殺されたNAT GWの利⽤料はOrganizationsのアカウント内において、 独⾃アルゴリズムで割引が割り振られるので、別AWSアカウントに割引適⽤される可能性あり
  16. AWS セキュリティ系サービス まとめ 保護適⽤範囲 主要機能 振る舞い AWS Network Firewall Amazon

    Route 53 Resolver DNS Firewall VPC Security Group VPC Network ACL AWS WAF OSIレイヤー Stateful/less 保護通信 VPCに紐づくルートレベル • Statelessルール • Statefulルール • IPS/IDSルール • FQDNフィルタリング • Portフィルタリング • Protocolフィルタリング • IPフィルタリング • Deep Packet Inspection • Managed Rules Allow L3 ~ L7 Stateful/less VPC内の全てのインバウンド/ アウトバウンド通信 (ルートテーブル設定必要) VPCに紐づくResolver経由 でのDNSクエリ • ドメインネームベースフィル タリング(Allowリスト, Denyリスト) • カスタムDenyアクション (NXDOMAIN, OVERRIDE, NODATA) • Managed Rules Allow / Deny L7 Stateless アウトバウンドDNSクエリ EC2などに紐づくENIレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow L3~L4 Stateful ENIからの全てのインバウンド /アウトバウンド通信 サブネットレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow / Deny L3~L4 Stateless サブネットからの全てのインバ ウンド/アウトバウンド通信 エンドポイントレベル (Cloud Front, ALB など) • L7レベルフィルタリング • Managed Rules Allow / Deny L7 Stateless エンドポイントへのインバウンド 通信 33
  17. Network Firewall Top 10 best practices 出典︓https://www.youtube.com/watch?v=67pVOv3lPlk 36 「AWS re:Inforce

    2023 - Policy and Suricata compatible rule creation for AWS Network Firewall (NIS308)」にすべてが記載されている︕︕
  18. まとめ • Network FirewallはSuricata互換のIPS/IDS • Amazon Route 53 Resolver DNS

    FirewallはRoute 53 ResolverのFirewall • マネージドサービス/ルールを活⽤することでクイックにセキュリティ対策可能 • セキュリティ対策は複数のレイヤーで⾏うことが⼤切 38
  19. Network Firewall パケット処理フロー 41 出典︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-rules-engines.html • dropかつTCP通信において、コネクションタイムアウトするまで接続が 切れない •

    StatefulかつTCP通信において、rejectも選択可能 すぐにRSTが返却されるため、コネクションタイムアウトを待たずに接続 が切れる Stateless詳細︓https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-action.html Stateful詳細︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-rule-evaluation-order.html
  20. AWS Network Firewall Ingress TLS inspection • TLSで暗号化されたVPCへのインバウンドトラフィック検査 • ACM,

    AWS KMSと統合 • ポート, IP/subnet単位で復号するトラフィック選択 • TLS 1.1 ~ 1.3対応 • HTTP2, Websocket, QUIC未対応 44 出典︓https://d1.awsstatic.com/events/Summits/awsreinforce2023/NIS373_AWS-Network-Firewall-and-DNS-Firewall-security-in-multi-VPC-environments.pdf