OpsJAWS20_Network_Access_Analyzerを触ってみた

re:Invent 2021で発表された Network Access Analyzer を触ってみた Ops JAWS Meetup#20
2021年12月9日吉井亮

自己紹介吉井亮ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/
好きな言葉 : No human labor is no human error. 2

何を取り上げるか？ ➔ CloudWatch Metrics Insights / RUM / Evidently ➔
Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる！ ➔ Inspector 3

Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し意図しないアクセスを発見・識別するサービス。セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、
設定ミスの防止などに活用できる。

使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆
プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW などインターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5

有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6

有効にしてみた初回は「使用を開始する」ボタンがあります。 7

スコープという概念スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで送信元と宛先を定義する。スコープで定義された内容と、実際のセキュリティグループ/
NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して分析していると思われる。 8

デフォルトのスコープ • AWS-VPC-Egress（Amazonが作成） ◦ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、トランジットゲートウェイへの出力パスを特定します。 • AWS-VPC-Ingress（Amazonが作成） ◦ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トラン
ジットゲートウェイからVPCへの入力パスを特定します。 • AWS-IGW-Egress（Amazonが作成） ◦ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特定します。 • All-IGW-Ingress（Amazon が作成） ◦ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特定します。 9

カスタムスコープスコープは独自に作成可能テンプレートを選んで条件を埋めていく 10

カスタムスコープ一致条件と除外条件送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にあるような特定用途に絞った分析を行いたい場合に活用 11

カスタムスコープ～リソースで指定 • EC2インスタンス（送信元と宛先のみ） • ネットワークインターフェイス（送信元と宛先のみ） • セキュリティグループ（送信元と宛先のみ） •
サブネット（送信元と宛先のみ） • VPC（送信元と宛先のみ） • インターネットゲートウェイ（送信元と宛先のみ） • 仮想プライベートゲートウェイ（送信元と宛先のみ） • トランジットゲートウェイアタッチメント 12 • VPCピアリング接続 • VPCエンドポイント • VPC Endpoint Services • NATゲートウェイ（フィールド経由のみ） • ネットワークファイアウォール（フィールドのみ） • クラシック、アプリケーション、およびネットワークロードバランサー（フィールドのみ） • Resource Groups （前述のタイプのリソースが含まれている必要があります）分析する対象は VPC 関連リソースのみ。自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、後述のトラフィックタイプで指定。

カスタムスコープ～リソースIDで指定 • AWS::EC2::InternetGateway （ソースフィールドと宛先フィールドのみ） • AWS::EC2::VPNGateway （ソースフィールドと宛先フィールドのみ） • AWS::EC2::TransitGatewayAttachment
• AWS::EC2::VPCPeeringConnection • AWS::EC2::VPCEndpoint （ソースフィールドではサポートされていません） • AWS::EC2::VPCEndpointService • AWS::EC2::NatGateway （スルーフィールドのみ） • AWS::ElasticLoadBalancing::LoadBalancer （スルーフィールドのみ） • AWS::ElasticLoadBalancingV2::LoadBalancer （スルーフィールドのみ） • AWS::NetworkFirewall::NetworkFirewall （スルーフィールドのみ） 13

カスタムスコープ～トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress
• DestinationPrefixLists • SourcePorts • DestinationPorts 14

分析分析ボタンをクリックすると分析開始。数分待つ。（ENI、SG、NACL、xxx Gateway などの数に依って変わりそう） 15

分析の表示 16

分析の表示～フィルター 17

分析の表示 18 選択すると詳細が表示される

分析の表示～詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先までリソース ID と共に経路が表示される

分析の表示～マウスオーバー 20

Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End
のアクセス分析。こちらは VPC 全体的。（細かいカスタマイズも可能） AWS 内部の分析エンジンはどうやら同じようだ。

料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :
$0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22

Quotas ❏ 分析数：1,000 ❏ 同時分析の数：25 ❏ アカウントに許可されているアクセススコープの数：1,000 引きあげたい場合は ServiceQuotas からリクエスト。
23

ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24

CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings
get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25

CloudFormation 26

Terraform 2021年12月7日時点リソース見つかりませんでした。知っていたら教えてください。 27

AWS Architecture Icons 2021年12月7日時点まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28

ありがとうございました 29

OpsJAWS20_Network_Access_Analyzerを触ってみた

OpsJAWS20_Network_Access_Analyzerを触ってみた

Ryo Yoshii

More Decks by Ryo Yoshii

Other Decks in Technology

Featured

Transcript

re:Invent 2021で発表された Network Access Analyzer を触ってみた Ops JAWS Meetup#20

自己紹介吉井亮ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/

何を取り上げるか？ ➔ CloudWatch Metrics Insights / RUM / Evidently ➔

Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し意図しないアクセスを発見・識別するサービス。セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、

使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆

有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6

有効にしてみた初回は「使用を開始する」ボタンがあります。 7

カスタムスコープスコープは独自に作成可能テンプレートを選んで条件を埋めていく 10

カスタムスコープ一致条件と除外条件送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にあるような特定用途に絞った分析を行いたい場合に活用 11

カスタムスコープ～リソースで指定 • EC2インスタンス（送信元と宛先のみ） • ネットワークインターフェイス（送信元と宛先のみ） • セキュリティグループ（送信元と宛先のみ） •

カスタムスコープ～リソースIDで指定 • AWS::EC2::InternetGateway （ソースフィールドと宛先フィールドのみ） • AWS::EC2::VPNGateway （ソースフィールドと宛先フィールドのみ） • AWS::EC2::TransitGatewayAttachment

カスタムスコープ～トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress

分析分析ボタンをクリックすると分析開始。数分待つ。（ENI、SG、NACL、xxx Gateway などの数に依って変わりそう） 15

分析の表示 16

分析の表示～フィルター 17

分析の表示 18 選択すると詳細が表示される

分析の表示～詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先までリソース ID と共に経路が表示される

分析の表示～マウスオーバー 20

Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End

料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :

Quotas ❏ 分析数：1,000 ❏ 同時分析の数：25 ❏ アカウントに許可されているアクセススコープの数：1,000 引きあげたい場合は ServiceQuotas からリクエスト。

ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24

CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings

CloudFormation 26

Terraform 2021年12月7日時点リソース見つかりませんでした。知っていたら教えてください。 27

AWS Architecture Icons 2021年12月7日時点まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28

ありがとうございました 29