Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第122回 雲勉【オンライン】AWS Network Firewallを学んでみる
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
iret.kumoben
December 14, 2023
Technology
930
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
第122回 雲勉【オンライン】AWS Network Firewallを学んでみる
下記、勉強会での資料です。
https://youtu.be/RUj6wrEP4QY
iret.kumoben
December 14, 2023
More Decks by iret.kumoben
See All by iret.kumoben
第182回 雲勉 【Gemini 3.0 Pro】AI ベンチマーク徹底比較!他モデルに比べ優れている点まとめ
iret
0
96
第181回 雲勉 WEB制作者のちょっとした面倒をAWSで解決!Amazon S3とAWS Lambda活用術
iret
0
86
第180回 雲勉 Abuse report の調査・確認方法について
iret
0
110
第179回 雲勉 AI を活用したサポートデスク業務の改善
iret
0
140
第178回 雲勉 Amazon EKSをオンプレで! Amazon EKS Anywhere 実践構築ガイド
iret
1
120
第177回 雲勉 IdP 移行を楽に! Amazon Cognito でアプリへの影響をゼロにするアイデア
iret
0
110
第176回 雲勉 VPC 間サービス接続を考える!Private Service Connect 入門
iret
0
100
第175回 雲勉 Amazon ECS入門:コンテナ実行の基本を学ぶ
iret
0
140
第174回 雲勉 Google Agentspace × ADK Vertex AI Agent Engineにデプロイしたエージェントを呼び出す
iret
0
170
Other Decks in Technology
See All in Technology
Dario Amodi『Policy on the AI Exponential』を理解する
nagatsu
0
200
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
soudai
PRO
0
210
GoとSIMDとWasmの今。
askua
3
510
TypeScript Compiler APIとPHP-Parserを活用し、TypeScriptとPHPで型を共有する
shuta13
0
370
新しいVibe Codingと”自走”について
watany
4
110
Rubyで音を視る
ydah
1
110
サプライチェーンセキュリティの空白地帯 - 信頼できる”依存性”の未来を考える
rung
PRO
2
780
新規事業を牽引する技術選定 〜フルスタックTypeScript開発の実践事例〜
nullnull
3
370
「速く作る」から「正しく作る」へ ─ 生成AI時代の開発フロー改革の ロードマップと実行 ─
starfish719
0
8.7k
noUncheckedIndexedAccess、3時間、1万円。 / noUncheckedIndexedAccess, 3 Hours, 10,000 JPY.
kaonavi
1
330
価格.comをAI駆動で全面刷新する ー 30年分の技術的負債を返し、次の30年の土台をつくる ー / AI Engineering Summit Tokyo 2026
tkyowa
50
56k
AI駆動開発が変える、大規模開発の前提 ーHuman in the Loop から Human on the Loop へ / AIE2026
visional_engineering_and_design
28
18k
Featured
See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.9k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
200
Leo the Paperboy
mayatellez
7
1.8k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
850
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.1k
How to train your dragon (web standard)
notwaldorf
97
6.7k
Claude Code のすすめ
schroneko
67
230k
A designer walks into a library…
pauljervisheath
211
24k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
200
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Transcript
第122回 雲勉【オンライン】 AWS Network Firewall を学んでみる
アジェンダ 2 0.⾃⼰紹介 1.はじめに 2.Firewallとは 3.AWSでのNWセキュリティ対策 4.AWS Network Firewall 5.まとめ
0.講師⾃⼰紹介 3 n ⽥中 弘紀(たなか ひろのり) • クラウドインテグレーション事業部 構築第⼋セクション 第⼆グループ
• 経歴 ⼩売店(接客販売) 1年半 オンプレミスインフラエンジニア(運⽤保守) 6年 • アイレット歴 4年⽬ (構築、運⽤保守) • 沖縄とロナウジーニョが好き
1. はじめに 4
1. はじめに 5 n 今回の雲勉は AWS Network Firewallを学びたい︕ という⽅を対象とさせていただいております
1. はじめに 6 n 本⽇のゴール AWS Network Firewallで出来る事を知る
2. Firewallとは 7
2. Firewallとは 8 n Firewallの役割 • Firewallは不正なアクセスや不要な通信をブロックするためのネットワークセキュリティ対 策に利⽤されるもの。
3. AWSでのNWセキュリティ対策 9
3. AWSでのNWセキュリティ対策 10 n AWSでNWセキュリティ対策として利⽤可能な代表的なマネージドサービス ・Network ACL ・Security Group ・AWS
WAF ・AWS Network Firewall ・AWS Gateway Load Balancer + セキュリティ仮想アプライアンス ・AWS Shield(Standard ,Advanced) AWS Network Firewall AWS Gateway Load Balancer AWS WAF AWS Shield
3. AWSでのNWセキュリティ対策 11 n Security Group • IPアドレスとポートで制御を⾏う • ステートフル
• 無料で利⽤出来るスタンダードなセキュリティ対策 • EC2やELBなどが保護リソースとなる n Network ACL • IPアドレスとポートで制御を⾏う • ステートレス • 無料で利⽤出来るスタンダードなセキュリティ対策 • VPC サブネットが保護リソースとなる
3. AWSでのNWセキュリティ対策 12 n AWS WAF • CloudFront、ALB、API Gatewayが保護リソースとなる •
L4(IPベース)だけでなく、L7(SQLインジェクションなど)に対しての対策が可能 • 適⽤するルールの数などによって料⾦が変動する重量課⾦ n AWS Gateway Load Balancer + セキュリティ仮想アプライアンス • デプロイするセキュリティ仮想アプライアンスの冗⻑化が可能 • 負荷状況によりアプライアンスのスケーリングが可能 • 制御内容は仮想アプライアンスに準ずる • VPC内を流れるパケットの制御や検閲を⾏う
3. AWSでのNWセキュリティ対策 13 n AWS Shield (Standard ,Advanced) • DDoS攻撃を⾃動緩和
• L7に対する攻撃も防御対象(Advancedのみ) • CloudFrontやELB、Route53などのリソースが保護対象となる n AWS Network Firewall • VPC単位でパケットの制御が可能 • IPアドレスとポート制限だけでなく、URLのフィルタリングも可能 • Suricata互換のIPSルールが定義可能
3. AWSでのNWセキュリティ対策 14 n どのサービスを利⽤すれば良いか ・防御したい領域により選択するサービスが異なる ・1つのサービスだけでは強固なセキュリティを確保するのは難しいのでサービスを組み合わ せて多層防御を ・予算や知⾒、運⽤負荷等を考慮してサービスを選定
3. AWSでのNWセキュリティ対策 15 n ⽐較⼀覧 Security Group Network ACL AWS
WAF AWS Network Firewall AWS Shield Advanced AWS Gateway Load Balancer 役割 送信元アドレスと ポートによる アクセス制限 送信元アドレスと ポートによる アクセス制限 アプリケーションの 保護 DDoS対策 トラフィックの検査 と フィルタリング DDoSからの保護 セキュリティアプラ イアンスの 冗⻑化 レイヤー L3 -L4 L3 -L4 L7 L3- L7 L3 -L7 L3 -L7 適⽤場所 EC2やELBなど VPC ALB ,CloudFront,API Gatewayなど VPC CloudFrontやELB、 Route53など デプロイするアプラ イアンス 製品による 料⾦ 無料 無料 従量課⾦ 従量課⾦ 定額料⾦ 従量課⾦
3. AWSでのNWセキュリティ対策 16 n 今回は AWS Network Firewall についてです
4. AWS Network Firewall 17
4. AWS Network Firewall 18 n AWS Network Firewallで出来ること •
ステートレスパケットフィルタ(5-tuple) • ステートフルパケットフィルタ(5-tuple) • ドメインの制御 • Suricata互換のIPS 5-tupleとは 「送信元IP」、「送信元ポート番号」、「宛先IP」、「宛先ポート番号」 「プロトコル番号」の5つを指定して制御ルールを記載すること
4. AWS Network Firewall 19 n SLAと料⾦体系 • ファイアーウォールエンドポイントに対する課⾦時間 0.395/h
USD ※NAT Gatewayと併⽤するとNAT Gatewayの料⾦は無料 ・SLA 稼働率99.99% マネージドサービスのため、サーバーのメンテナンスが不要。 ルール設定等に注⼒する事が出来る。
4. AWS Network Firewall 20 n ステートレスパケットフィルタ(5-tuple) • ステートレスパケットフィルタは⾏きと帰りの通信を双⽅向で許可する必要があるフィルタ リング⽅法
4. AWS Network Firewall 21 n ステートフルパケットフィルタ(5-tuple) • ステートフルパケットフィルタは⾏きの通信のみを定義するだけで帰りの通信は⾃動的に許 可されるフィルタリング⽅式
4. AWS Network Firewall 22 n ドメインの制御 ・www.iret.co.jpのようなドメインで制御(ホワイト/ブラックリスト)ができるフィルタリング ⽅式 ・ドメインの制御はステートフル
4. AWS Network Firewall 23 n Suricata互換のIPS ・シグネチャ型(パターンベース)のIPSが実装可能 ・シグネチャをカスタムで定義することも、公開されているシグネチャを利⽤する事も出来る
4. AWS Network Firewall 24 n 公開されているシグネチャ例 ・ThreatSignaturesScannersStrictOrde スキャン ツールからの偵察と調査を検出するためのシグネチャ
・ThreatSignaturesMalwareCoinminingStrictOrder マルウェアコインマイニングを検出するためのシグネチャ
4. AWS Network Firewall 25 n シグネチャの中⾝ ・www.iret.co.jp へのhttps通信をdropするシグネチャ drop
tcp $HOME_NET any -> any(msg:“違反検出 https://www.iret.co.jp"; tls.sni; cont$EXTERNAL_NET ent:"www.iret.co.jp"; startswith; endswith; flow:to_server, established; sid:1000001; rev:1;) drop このルールに違反した時のアクション tcp $HOME_NET any -> $EXTERNAL_NET any HOME_NET このNetwork FirewallがデプロイされているVPC CIDRから,それ以外のIPアドレスへのtpcポート全て msg:“違反検出 https://www.iret.co.jp このルールに該当した場合にログに出⼒されるメッセージ tls.sni; content:“www.iret.co.jp”; startswith; endswith; SNIフィールドにwww.iret.co.jpが含まれた場合 flow:to_server, established クライアントからwww.iret.co.jpを提供しているサーバーに対して通信が確⽴されたものにルールを適⽤する sid:1000001; rev:1; ルールの識別⼦とリビジョン番号(ユーザーが作成したシグネチャのIDは1000000-1999999で指定)
4. AWS Network Firewall 26 n AWS Network Firewallの構成要素 ・ファイアーウォール
・ファイアウォールポリシー ・ルールグループ
4. AWS Network Firewall 27 n ファイアーウォール ・AWS Network Firewall構築時に指定したサブネットにGateway
Load Balancerのエンドポ イントが作成されるため、検査対象の通信は⼀時的にVPC外へ転送されることになる。
4. AWS Network Firewall 28 n ファイアーウォールポリシー ・AWS Network Firewallで検査する動作を指定する。
ルールグループの順序やアクションを管理する。
4. AWS Network Firewall 29 n ファイアーウォールルールグループ ・ファイアーウォールルールの順序やアクションを管理する。
4. AWS Network Firewall 30 n ファイアーウォールルールグループの種類 ステートレスルール ステートフルルール アンマネージドステートレスルール
※マネージドステートレスルールは、 提供されていない アンマネージドステートフルルール マネージドステートフルルール
4. AWS Network Firewall 31 n ファイアーウォールルールグループの種類 ・アンマネージドステートレスルールグループ ステートレスパケットフィルタリングを定義するルールグループ ユーザーでステートレスルールを設定(IPアドレスとポート)
・アンマネージドステートフルルールグループ ステートフルルールグループを定義するルールグループ ユーザーでステートフルルールを設定(IPアドレスとポート、ドメイン、シグネチャ) ・マネージドステーフルルールグループ AWSから提供されているルールグループ MalwareDomainsActionOrder ・・・既知のマルウェアをホストしているドメインへの通信をブロックするルール
4. AWS Network Firewall 32 n ファイアウォールルールの評価順序 1.ステートレスルールに定義されているルール 2.ステートフルルールに定義されているルール の順序で評価が⾏われる
ルールに⼀致しない通信に対してどのような動作をさせるのかという設定を⾏うものが 「デフォルトのアクション」
4. AWS Network Firewall 33 n ステートレスルールのデフォルトのアクションの考え⽅ パケットの種類(フラグメント/通常) により処理を分けるか 全てに同じデフォルトアクションを適⽤
フラグメント化されたパケットは ルールを分ける フラグメント化されたパケット 通常のパケット 全て許可 全て許可 全て拒否 全て拒否 ステートフルルールに転送 ステートフルルールに転送 or 全て許可 全て拒否 ステートフルルールに転送 or or or or or ※何れかの処理を実⾏ ※何れかの処理を実⾏ ※何れかの処理を実⾏ Yes No ステートレスルールに該当しない
4. AWS Network Firewall 34 n ステートフルルールのデフォルトのアクションの考え⽅ 全てをドロップ or 確⽴された接続のパケットをドロップ
or/and すべてアラート 確⽴された接続のパケットをアラート or/and ドロップを選択しない場合は全て許可となる ステートレスルールから転送 ステートフルルールに該当しない ※何れかの処理を実⾏ ※何れかの処理を実⾏ アラートログをcloudwatch logsに出⼒
4. AWS Network Firewall 35 n ルール定義の考え⽅ ・許可したい通信のみを定義して、それ以外の通信は暗黙のDenyで拒否するホワイトリスト⽅式 ・許可したくない通信のみを定義して拒否するブラックリスト⽅式 ⽅式
採⽤するケース メリット デメリット ホワイトリスト⽅式 ・セキュリティ要件が⾼い環境 ・未知の攻撃に効果を発揮する ・想定外の通信をさせない ・ユーザビリティに影響 ・ルールが複雑になりがち ブラックリスト⽅式 ・セキュリティ要件が緩い環境 ・正常な通信を妨げない ・未知の攻撃に対処出来ない
4. AWS Network Firewall 36 構成パターン例
4. AWS Network Firewall 37 n 分散型の共有モデル
4. AWS Network Firewall 38 n 集約型の展開モデル
4. AWS Network Firewall 39 n AWS Network Firewallの私が⾒た利⽤⽅法 ・フォワードプロキシとして利⽤
URLフィルタリングなどの要望が 稀によくある インターネットが送信元となる通信に対する 防御ルールを構成することも可能だが AWS WAFやセキュリティグループなどで 防御や制限を実施する⽅法をよくみる
5. まとめ 40
5. まとめ 41 n まとめ ・マネージドサービスのため、リソース管理が不要で ルールの管理といったセキュリティ強化の検討に注⼒することが出来る • ステートレスパケットフィルタ、ステートフルパケットフィルタ、ドメインの制御、 Suricata互換のIPSを⽤いて柔軟にルールを構成することが出来る
・セキュリティは製品を1つ導⼊する事で担保できるという事ではなく、製品の特徴を理解 し、⽬的に応じて多層防御を⾏う必要がある
ご清聴ありがとうございました 42
SiteGround - Reliable hosting with speed, security, and support you can count on.
iret
nagatsu
soudai
askua
shuta13
watany
ydah
rung
nullnull
starfish719
kaonavi
tkyowa
visional_engineering_and_design
eileencodes
katarinadahlin
ryanjones
mayatellez
tomoyanonymous
szymonslowik
notwaldorf
schroneko
pauljervisheath
aarron
.png){kind=avatar}
helenjbeal
sonatard
