Upgrade to Pro — share decks privately, control downloads, hide ads and more …

VPC Block Public Accessを触ってみて気づいた色々な勘所

VPC Block Public Accessを触ってみて気づいた色々な勘所

「JAWS-UGちばらき(茨城&千葉支部共同開催) #1 土浦からはじめます!」での登壇資料です
https://jawsug-ibaraki.connpass.com/event/338441/

da-hatakeyama

January 24, 2025
Tweet

More Decks by da-hatakeyama

Other Decks in Technology

Transcript

  1. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ
  2. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ
  3. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ
  4. VPC Block Public Access(BPA)とは lre:Invent直前(いわゆる ”pre:Invent”)で発表された、VPCとインターネットの間の 通信を強制的にブロックできる機能 lブロックする方向は2種類の設定から選択可能 l双方向 :インバウンドとアウトバウンド両方ブロック

    lIngress-only :インターネットからVPCへのインバウンドのみブロック lBPA設定を適用しない除外設定をサブネット単位で設定可能 l除外するトラフィックの方向も2種類から選択可能 l双方向 :インバウンドとアウトバウンド両方を許可 lEgress-Only :サブネットからインターネットへの通信を許可
  5. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ
  6. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ
  7. CloudFront VPC Origins とは l re:Invent直前(いわゆる ”pre:Invent”)で発表された、CloudFrontの新機能 l プライベートサブネットにあるリソースを、CloudFrontディストリビューションの オリジンに設定できるように

    l 対応しているリソースはALB、NLB、EC2インスタンス l ALB、NLBをパブリックサブネットに配置する必要がないため、よりセキュアな構成 にすることができる Ø パブリックIPを削減することができるためコスト削減も見込める
  8. CloudFront VPC Originsとの組み合わせ インターネットからWebサーバーに到達不可能に 通信経路 結果 EC2からのインターネットEgress(IPv4) 許可 EC2からのインターネットEgress(IPv6) 許可

    インターネットからALBへのIngress(IPv4、IPv6) 拒否 インターネットからCloudFront VPC Origins向けの 通信がインバウンドと判定されている プライベートサブネットでの設定を双方向除外に 変更する必要がある
  9. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ
  10. 今後意識すべき観点 l BPAのブロック方向の設定によって除外設定の内容も変わる、という点に考慮して 設計を行う必要がある l 既存リソースがある環境で導入する場合は… Ø あらかじめ除外設定を入れておいた上で、BPA設定のブロック方向を「Ingress-Only」に 設定、そこから除外設定を追加していくという手順が比較的シンプル l

    新規構築をする場合は… Ø あらかじめ除外設定を入れておいた上で、「Ingress-Only」のBPA設定をとりあえず入れ ておくとガバナンスを効かせることができる l インターネット接続を問答無用で遮断する機能なので設定は慎重に! Ø 設定はかなりシンプルだが影響は非常に大きい Ø アーキテクチャによる設計の違いにも留意する必要あり BPA設定のブロック方向と除外設定の組み合わせ
  11. 今後意識すべき観点 l セキュリティグループ、NACLよりも 強力な機能なので権限管理をしておく と安心 Ø 権限設定の例 • 「VpcBlockPublicAccess」 が含まれれ

    るEC2のAPIアクションのみを制限する IAMポリシー • 2025年1月現在、対象のAPIアクション は6つ存在している 権限管理 { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmtxxxxxxxxxxxxx", "Action": [ "ec2:CreateVpcBlockPublicAccessExclusion", "ec2:DeleteVpcBlockPublicAccessExclusion", "ec2:DescribeVpcBlockPublicAccessExclusions", "ec2:DescribeVpcBlockPublicAccessOptions", "ec2:ModifyVpcBlockPublicAccessExclusion", "ec2:ModifyVpcBlockPublicAccessOptions" ], "Effect": "Deny", "Resource": "*" }, { "Sid": "Stmtxxxxxxxxxxxxx", "Action": "*", "Effect": "Allow", "Resource": "*" } ] }
  12. アジェンダ lはじめに lVPC Block Public Access について l実際に触ってみる lVPC Block

    Public Accessの設定内容による挙動の確認 lCloudFront VPC Originsとの組み合わせ l使う上での注意点など lまとめ
  13. まとめ l BPAを使用するとVPCとインターネットの間のトラフィックを制御できる Ø セキュリティやガバナンスを強化する効果がある l BPAとCloudFront VPC Originsを組み合わせることで、よりセキュアな環境を作る ことができる

    l 設計時には既存の構成とは少し異なる観点が必要になるため、「BPAの設定がどの 通信に影響するのか」は事前にちゃんと検証しておく必要がある l 強力な機能なので、ユーザーの権限管理もしておくと安心 Ø 宣言型ポリシーでもサポートされているが、まだちょっと機能不足な雰囲気 Ø 「特定のタグがついてるサブネットは除外」とかできたら便利そう、今後に期待
  14. 参考資料 l Amazon VPC Block Public Access による VPC セキュリティの強化

    Ø https://aws.amazon.com/jp/blogs/news/vpc-block-public-access/ l VPC とサブネットへのパブリックアクセスをブロックする Ø https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/security-vpc-bpa.html l [アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリ リースされました! Ø https://iret.media/128465 l Amazon CloudFront VPC オリジンの紹介: アプリケーションのセキュリティ強化と運用の合理化 Ø https://aws.amazon.com/jp/blogs/news/introducing-amazon-cloudfront-vpc-origins-enhanced- security-and-streamlined-operations-for-your-applications/ l Restrict access with VPC origins Ø https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/private-content- vpc-origins.html