Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
図で理解するAWS Network Firewallのアーキテクチャ
Search
Atsushi Satou
January 17, 2025
Technology
0
130
図で理解するAWS Network Firewallのアーキテクチャ
Atsushi Satou
January 17, 2025
Tweet
Share
More Decks by Atsushi Satou
See All by Atsushi Satou
AWS ECSでサービス間通信についておさらい
atsuw0
1
75
CLIで構築した方が良いもの一覧.pdf
atsuw0
0
130
HCP Terraformを使ったら AWSやGCPの環境構築が捗った話
atsuw0
0
150
HashicorpCloudについて.pdf
atsuw0
0
18
HCP Terraform について
atsuw0
0
1.7k
HashicorpCloudについて.pdf
atsuw0
0
26
AWS サーバレス設計 Tips集
atsuw0
0
110
AWS re:Invent 2023 ストレージ EFSレプリケーションのフェイルバック機能を試してみた
atsuw0
0
360
AWS re:Invent 2023 個人的に興味深いもの集
atsuw0
0
110
Other Decks in Technology
See All in Technology
「AI駆動開発」のボトルネック『言語化』を効率化するには
taniiicom
1
240
AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control Tower の運用における考慮ポイント
htan
1
140
大規模イベントに向けた ABEMA アーキテクチャの遍歴 ~ Platform Strategy 詳細解説 ~
nagapad
0
150
東京海上日動におけるセキュアな開発プロセスの取り組み
miyabit
0
220
Strands Agents & Bedrock AgentCoreを1分でおさらい
minorun365
PRO
6
150
人と生成AIの協調意思決定/Co‑decision making by people and generative AI
moriyuya
0
290
LIFF CLIとngrokを使ったLIFF/LINEミニアプリのお手軽実機確認
diggymo
0
140
Microsoft Learn MCP/Fabric データエージェント/Fabric MCP/Copilot Studio-簡単・便利なAIエージェント作ってみた -"Building Simple and Powerful AI Agents with Microsoft Learn MCP, Fabric Data Agent, Fabric MCP, and Copilot Studio"-
reireireijinjin6
1
210
オブザーバビリティプラットフォーム開発におけるオブザーバビリティとの向き合い / Hatena Engineer Seminar #34 オブザーバビリティの実現と運用編
arthur1
0
290
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
layerx
PRO
8
1.6k
GMOペパボのデータ基盤とデータ活用の現在地 / Current State of GMO Pepabo's Data Infrastructure and Data Utilization
zaimy
3
170
Unson OS|48時間で「売れるか」を判定する AI 市場検証プラットフォーム
unson
0
160
Featured
See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
30
6k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
332
22k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Git: the NoSQL Database
bkeepers
PRO
431
65k
Code Review Best Practice
trishagee
69
19k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
29
9.6k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.4k
Code Reviewing Like a Champion
maltzj
524
40k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
5.9k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Documentation Writing (for coders)
carmenintech
73
4.9k
What's in a price? How to price your products and services
michaelherold
246
12k
Transcript
図で理解するAWS Network Firewallのアーキテクチャ 佐藤 淳 【増枠】渋谷でビール片手に LT会! ※初心者大歓迎 https://metaps.connpass.com/event/338514/
自己紹介 名前: 佐藤 淳 ( Atsushi Sato ) 会社: アイレット株式会社
(今日は個人的な参加) 職業: インフラエンジニア(AWS、GCP) 趣味: キャンプ、登山、旅行 Qiita: https://qiita.com/atw0_0w
今回の発表の目的 https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/ ・Network Firewall の構成についてググってみると検索上位の記事でこんな記述が ... 「AWS Network Firewallのデプロイモデル」 2021/7/29
寄稿 Network Firewallは、VPC Peeringにより接続されたVPC間や、Virtual Private Gateway(VGW)を使用してVPCに直接接続されたオンプレミス ネットワークのトラフィックを検査することはできません。
今回の発表の目的 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-amazon-virtual-private-gateway-ingress-rout ing-support-for-gateway-load-balancer/ ・ただし、以下のアップデートによって、 VGWに対してIngress Route TableでNetworkFirewall Endpointへのルーティングを定義することで、 NFWへのトラフィックの検査が可能になった。 「Announcing
Amazon Virtual Private Gateway Ingress Routing support for Gateway Load Balancer」 2023/8/30 寄稿 このシナリオでは、トラフィックフローにネットワークファイアウォール (GWLB を使用) を挿入しています。新しいネットワークファイアウォール が作成されると、そのサブネットに GWLB エンドポイントが作成され、 ルーティングテーブルにターゲットとして vpce-id が表示されます。
・AWSのアップデートは随時行われているため、最新の構成について把握する ・Network Firewallの設定方法についてざっくりと理解する 今回の発表の目的
Firewallとは?
・WAFとの違いは? そもそもFirewallとは? WAF (Web Application Firewall) Firewall OSI参照モデル アプリケーション層(Layer 7)
ネットワーク層(Layer 3) 目的 WebアプリケーションやAPIへの脆弱 性を狙った攻撃から保護 ネットワークへの不正アクセ スを防ぐ 検出・ブロックできる 攻撃 SQLインジェクション、XSS、CSRF、 DoS攻撃、DDoS攻撃 等 ポートスキャン、DoS攻撃、 DDoS攻撃、パケットスニッ フィング ユースケース Webアプリケーション、APIのフロント 部分(ロードバランサ) 異なるネットワーク間での通 信 AWSサービス AWS WAF AWS Network Firewall
AWS Network Firewallの設計 を図で理解する。
アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.
ルートテーブル設計一覧
ルールグループの設定例 ① ・ルール変数にて、許可/拒否するIPアドレスやポートを定義 名前 タイプ 値 IP_SET_DMZ IP set 10.0.11.0/24
10.0.12.0/24 IP_SET_ONPRE IP set 192.168.0.0/16 IP_SET_WEBAPP IP set 10.0.21.0/24 10.0.22.0/24 PORT_ALLOW_HTTPS Ports 80 443 PORT_ALLOW_SSH Ports 22
ルールグループの設定例 ② ・今回はステートフルルールについてご紹介。 (ステートレスもある) ・ステートフルなので上から優先的にルール適用される 上に許可のルールを一通り記述し、最後に拒否のルールを記述。 ・TCPなので上り/下りのルールを追加
まとめ NFWなど普段あまり触れないサービスだからこそ、いざ使用する際ドキュメント不足などで適切 な要件定義ができないといったこともある。 定期的にキャッチアップして、日本語のドキュメントが不足していたらアウトプットとして発信する ことが大事。
ご清聴ありがとうございました
atsuw0
taniiicom
htan
nagapad
miyabit
minorun365
moriyuya
diggymo
reireireijinjin6
.jpeg){kind=avatar}
arthur1
layerx
zaimy
unson
zakiyama
caitiem20
yeseniaperezcruz
bkeepers
trishagee
eileencodes
thoeni
maltzj
kevinliebholz
hatefulcrawdad
carmenintech
michaelherold
![アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.](https://files.speakerdeck.com/presentations/e201941905d044ddaa48aab332c3e1c6/slide_8.jpg){kind=link}
