Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpsJAWS20_Network_Access_Analyzerを触ってみた
Search
Ryo Yoshii
December 09, 2021
Technology
0
1.2k
OpsJAWS20_Network_Access_Analyzerを触ってみた
Ops JAWS Meetup#20 で登壇した資料を公開します
https://opsjaws.doorkeeper.jp/events/129767
Ryo Yoshii
December 09, 2021
Tweet
Share
More Decks by Ryo Yoshii
See All by Ryo Yoshii
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
yoshiiryo1
1
520
Enhancing SRE Using AI
yoshiiryo1
1
650
Amazon Bedrock Agents と Chatbot で無敵のOpsになる
yoshiiryo1
1
160
組織横断型であるがゆえの楽しみと苦しみ
yoshiiryo1
4
1.2k
EC2 の運用と監視の基本をおさらい 「監視、バックアップ、操作」
yoshiiryo1
0
560
re:Invent2023 現地レポ& Cloud Operation サービス Update
yoshiiryo1
0
180
Amazon CloudWatch Application Signals(Preview) 徹底解説
yoshiiryo1
0
1.6k
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
yoshiiryo1
2
2.4k
OpsJAWS MEETUP25_みんなが幸せなインシデント管理
yoshiiryo1
0
1.2k
Other Decks in Technology
See All in Technology
社内でKaggle部を作って初学者育成した話
daikon99
1
250
クラウド脆弱性の傾向とShisho Cloudの活用
rvirus0817
0
110
Amazon Bedrock GenUハンズオン座学資料 #1 GenU環境で生成AIを体験してみよう
tsukuboshi
0
200
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
4
8.1k
入社半年で PTE に! 元海外在住者が語る Google Cloud × G-genで 成長する秘訣
risatube
PRO
0
120
EC-CUBEはサーバレスで動かせるのか?
yukishimada
1
140
noteの目指す世界とプロダクトマネジャー
noteinc
0
100
プロダクトの一番の理解者を目指してQAが取り組んでいること 〜現場・マネジメント各視点のプラクティス〜
hacomono
PRO
0
130
OPENLOGI Company Profile for engineer
hr01
1
21k
やっぱり余白が大切だった話
kakehashi
PRO
7
2.8k
OSSの実装を参考にBedrockエージェントを作る
moritalous
2
450
OCI Oracle Database Services新機能アップデート(2024/12-2025/02)
oracle4engineer
PRO
2
140
Featured
See All Featured
A Modern Web Designer's Workflow
chriscoyier
693
190k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
What's in a price? How to price your products and services
michaelherold
244
12k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.2k
Why Our Code Smells
bkeepers
PRO
336
57k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Designing for humans not robots
tammielis
250
25k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.3k
Git: the NoSQL Database
bkeepers
PRO
429
65k
RailsConf 2023
tenderlove
29
1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Transcript
re:Invent 2021で発表された Network Access Analyzer を 触ってみた Ops JAWS Meetup#20
2021年12月9日 吉井 亮
自己紹介 吉井 亮 ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/
好きな言葉 : No human labor is no human error. 2
何を取り上げるか? ➔ CloudWatch Metrics Insights / RUM / Evidently ➔
Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる! ➔ Inspector 3
Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し 意図しないアクセスを発見・識別するサービス。 セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、
設定ミスの防止などに活用できる。
使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆
プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW など インターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5
有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6
有効にしてみた 初回は「使用を開始する」ボタンがあります。 7
スコープという概念 スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで 送信元と宛先を定義する。 スコープで定義された内容と、実際のセキュリティグループ/
NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して 分析していると思われる。 8
デフォルトのスコープ • AWS-VPC-Egress(Amazonが作成) ◦ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、 トランジットゲートウェイへの出力パスを特定します。 • AWS-VPC-Ingress(Amazonが作成) ◦ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トラン
ジットゲートウェイからVPCへの入力パスを特定します。 • AWS-IGW-Egress(Amazonが作成) ◦ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特 定します。 • All-IGW-Ingress(Amazon が作成) ◦ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特 定します。 9
カスタムスコープ スコープは独自に作成可能 テンプレートを選んで 条件を埋めていく 10
カスタムスコープ 一致条件と除外条件 送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にある ような特定用途に絞った 分析を行いたい場合に 活用 11
カスタムスコープ ~リソースで指定 • EC2インスタンス(送信元と宛先のみ) • ネットワークインターフェイス (送信元と宛先のみ) • セキュリティグループ(送信元と宛先のみ) •
サブネット(送信元と宛先のみ) • VPC(送信元と宛先のみ) • インターネットゲートウェイ(送信元と宛先の み) • 仮想プライベートゲートウェイ(送信元と宛先の み) • トランジットゲートウェイアタッチメント 12 • VPCピアリング接続 • VPCエンドポイント • VPC Endpoint Services • NATゲートウェイ(フィールド経由のみ) • ネットワークファイアウォール(フィールドの み) • クラシック、アプリケーション、およびネット ワークロードバランサー(フィールドのみ) • Resource Groups (前述のタイプのリソースが含 まれている必要があります) 分析する対象は VPC 関連リソースのみ。 自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、 後述のトラフィックタイプで指定。
カスタムスコープ ~リソースIDで指定 • AWS::EC2::InternetGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::VPNGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::TransitGatewayAttachment
• AWS::EC2::VPCPeeringConnection • AWS::EC2::VPCEndpoint (ソースフィールドではサポートされていません) • AWS::EC2::VPCEndpointService • AWS::EC2::NatGateway (スルーフィールドのみ) • AWS::ElasticLoadBalancing::LoadBalancer (スルーフィールドのみ) • AWS::ElasticLoadBalancingV2::LoadBalancer (スルーフィールドのみ) • AWS::NetworkFirewall::NetworkFirewall (スルーフィールドのみ) 13
カスタムスコープ ~トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress
• DestinationPrefixLists • SourcePorts • DestinationPorts 14
分析 分析ボタンをクリックすると分析開始。 数分待つ。(ENI、SG、NACL、xxx Gateway などの数に依って変わりそう) 15
分析の表示 16
分析の表示 ~フィルター 17
分析の表示 18 選択すると詳細が表示される
分析の表示 ~詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先まで リソース ID と共に 経路が表示される
分析の表示 ~マウスオーバー 20
Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End
のアクセス分析。 こちらは VPC 全体的。(細かいカスタマイズも可能) AWS 内部の分析エンジンはどうやら同じようだ。
料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :
$0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22
Quotas ❏ 分析数:1,000 ❏ 同時分析の数:25 ❏ アカウントに許可されているアクセススコープの数:1,000 引きあげたい場合は ServiceQuotas からリクエスト。
23
ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24
CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings
get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25
CloudFormation 26
Terraform 2021年12月7日時点 リソース見つかりませんでした。知っていたら教えてください。 27
AWS Architecture Icons 2021年12月7日時点 まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28
ありがとうございました 29