Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpsJAWS20_Network_Access_Analyzerを触ってみた

Avatar for Ryo Yoshii Ryo Yoshii
December 09, 2021
Technology
0
1.2k

 OpsJAWS20_Network_Access_Analyzerを触ってみた

Ops JAWS Meetup#20 で登壇した資料を公開します
https://opsjaws.doorkeeper.jp/events/129767

Avatar for Ryo Yoshii

Ryo Yoshii

December 09, 2021
Tweet

More Decks by Ryo Yoshii

See All by Ryo Yoshii
SRE with AI:実践から学ぶ、運用課題解決と未来への展望
Avatar for Ryo Yoshii yoshiiryo1
1
1.4k
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
Avatar for Ryo Yoshii yoshiiryo1
1
650
Enhancing SRE Using AI
Avatar for Ryo Yoshii yoshiiryo1
1
1k
Amazon Bedrock Agents と Chatbot で無敵のOpsになる
Avatar for Ryo Yoshii yoshiiryo1
1
240
組織横断型であるがゆえの楽しみと苦しみ
Avatar for Ryo Yoshii yoshiiryo1
4
1.2k
EC2 の運用と監視の基本をおさらい 「監視、バックアップ、操作」
Avatar for Ryo Yoshii yoshiiryo1
0
740
re:Invent2023 現地レポ& Cloud Operation サービス Update
Avatar for Ryo Yoshii yoshiiryo1
0
210
Amazon CloudWatch Application Signals(Preview) 徹底解説
Avatar for Ryo Yoshii yoshiiryo1
0
2k
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
Avatar for Ryo Yoshii yoshiiryo1
2
2.7k

Other Decks in Technology

See All in Technology
バイブコーディングと継続的デプロイメント
Avatar for nwiizo nwiizo
2
440
LLM時代にデータエンジニアの役割はどう変わるか?
Avatar for Ikki Miyazaki ikkimiyazaki
4
920
Function calling機能をPLaMo2に実装するには / PFN LLMセミナー
Avatar for Preferred Networks pfn
PRO
0
970
Goに育てられ開発者向けセキュリティ事業を立ち上げた僕が今向き合う、AI × セキュリティの最前線 / Go Conference 2025
Avatar for GMO Flatt Security flatt_security
0
350
PLaMoの事後学習を支える技術 / PFN LLMセミナー
Avatar for Preferred Networks pfn
PRO
9
3.9k
いまさら聞けない ABテスト入門
Avatar for 木村彩恵(skmr2348) skmr2348
1
210
『OCI で学ぶクラウドネイティブ 実践 × 理論ガイド』 書籍概要
Avatar for oracle4engineer oracle4engineer
PRO
2
120
リーダーになったら未来を語れるようになろう/Speak the Future
Avatar for Genki Sano sanogemaru
0
300
E2Eテスト設計_自動化のリアル___Playwrightでの実践とMCPの試み__AIによるテスト観点作成_.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
1
490
pprof vs runtime/trace (FlightRecorder)
Avatar for task4233 task4233
0
170
Git in Team
Avatar for Yasunobu Kawaguchi kawaguti
PRO
2
110
Why React!?? Next.jsそしてReactを改めてイチから選ぶ
Avatar for ypresto ypresto
10
4.5k

Featured

See All Featured
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.1k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.4k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
33
8.8k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
2.6k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
27
2k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
53k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
301
51k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.5k

Transcript

  1. re:Invent 2021で発表された Network Access Analyzer を 触ってみた Ops JAWS Meetup#20

    2021年12月9日 吉井 亮

  2. 自己紹介 吉井 亮 ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/

    好きな言葉 : No human labor is no human error. 2

  3. 何を取り上げるか? ➔ CloudWatch Metrics Insights / RUM / Evidently ➔

    Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる! ➔ Inspector 3

  4. Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し 意図しないアクセスを発見・識別するサービス。 セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、

    設定ミスの防止などに活用できる。

  5. 使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆

    プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW など インターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5

  6. 有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6

  7. 有効にしてみた 初回は「使用を開始する」ボタンがあります。 7

  8. スコープという概念 スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで 送信元と宛先を定義する。 スコープで定義された内容と、実際のセキュリティグループ/

    NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して 分析していると思われる。 8

  9. デフォルトのスコープ • AWS-VPC-Egress(Amazonが作成) ◦ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、 トランジットゲートウェイへの出力パスを特定します。 • AWS-VPC-Ingress(Amazonが作成) ◦ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トラン

    ジットゲートウェイからVPCへの入力パスを特定します。 • AWS-IGW-Egress(Amazonが作成) ◦ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特 定します。 • All-IGW-Ingress(Amazon が作成) ◦ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特 定します。 9

  10. カスタムスコープ スコープは独自に作成可能 テンプレートを選んで 条件を埋めていく 10

  11. カスタムスコープ 一致条件と除外条件 送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にある ような特定用途に絞った 分析を行いたい場合に 活用 11

  12. カスタムスコープ ~リソースで指定 • EC2インスタンス(送信元と宛先のみ) • ネットワークインターフェイス (送信元と宛先のみ) • セキュリティグループ(送信元と宛先のみ) •

    サブネット(送信元と宛先のみ) • VPC(送信元と宛先のみ) • インターネットゲートウェイ(送信元と宛先の み) • 仮想プライベートゲートウェイ(送信元と宛先の み) • トランジットゲートウェイアタッチメント 12 • VPCピアリング接続 • VPCエンドポイント • VPC Endpoint Services • NATゲートウェイ(フィールド経由のみ) • ネットワークファイアウォール(フィールドの み) • クラシック、アプリケーション、およびネット ワークロードバランサー(フィールドのみ) • Resource Groups (前述のタイプのリソースが含 まれている必要があります) 分析する対象は VPC 関連リソースのみ。 自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、 後述のトラフィックタイプで指定。

  13. カスタムスコープ ~リソースIDで指定 • AWS::EC2::InternetGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::VPNGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::TransitGatewayAttachment

    • AWS::EC2::VPCPeeringConnection • AWS::EC2::VPCEndpoint (ソースフィールドではサポートされていません) • AWS::EC2::VPCEndpointService • AWS::EC2::NatGateway (スルーフィールドのみ) • AWS::ElasticLoadBalancing::LoadBalancer (スルーフィールドのみ) • AWS::ElasticLoadBalancingV2::LoadBalancer (スルーフィールドのみ) • AWS::NetworkFirewall::NetworkFirewall (スルーフィールドのみ) 13

  14. カスタムスコープ ~トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress

    • DestinationPrefixLists • SourcePorts • DestinationPorts 14

  15. 分析 分析ボタンをクリックすると分析開始。 数分待つ。(ENI、SG、NACL、xxx Gateway などの数に依って変わりそう) 15

  16. 分析の表示 16

  17. 分析の表示 ~フィルター 17

  18. 分析の表示 18 選択すると詳細が表示される

  19. 分析の表示 ~詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先まで リソース ID と共に 経路が表示される

  20. 分析の表示 ~マウスオーバー 20

  21. Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End

    のアクセス分析。 こちらは VPC 全体的。(細かいカスタマイズも可能) AWS 内部の分析エンジンはどうやら同じようだ。

  22. 料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :

    $0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22

  23. Quotas ❏ 分析数:1,000 ❏ 同時分析の数:25 ❏ アカウントに許可されているアクセススコープの数:1,000 引きあげたい場合は ServiceQuotas からリクエスト。

    23

  24. ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24

  25. CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings

    get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25

  26. CloudFormation 26

  27. Terraform 2021年12月7日時点 リソース見つかりませんでした。知っていたら教えてください。 27

  28. AWS Architecture Icons 2021年12月7日時点 まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28

  29. ありがとうございました 29