第122回雲勉【オンライン】AWS Network Firewallを学んでみる

第122回雲勉【オンライン】 AWS Network Firewall を学んでみる

アジェンダ 2 0.⾃⼰紹介 1.はじめに 2.Firewallとは 3.AWSでのNWセキュリティ対策 4.AWS Network Firewall 5.まとめ

０．講師⾃⼰紹介 3 n ⽥中弘紀(たなかひろのり) • クラウドインテグレーション事業部構築第⼋セクション第⼆グループ
• 経歴⼩売店(接客販売) 1年半オンプレミスインフラエンジニア(運⽤保守) 6年 • アイレット歴 4年⽬ (構築、運⽤保守) • 沖縄とロナウジーニョが好き

1. はじめに 4

1. はじめに 5 n 今回の雲勉は AWS Network Firewallを学びたい︕ という⽅を対象とさせていただいております

1. はじめに 6 n 本⽇のゴール AWS Network Firewallで出来る事を知る

2. Firewallとは 7

2. Firewallとは 8 n Firewallの役割 • Firewallは不正なアクセスや不要な通信をブロックするためのネットワークセキュリティ対策に利⽤されるもの。

3. AWSでのNWセキュリティ対策 9

3. AWSでのNWセキュリティ対策 10 n AWSでNWセキュリティ対策として利⽤可能な代表的なマネージドサービス・Network ACL ・Security Group ・AWS
WAF ・AWS Network Firewall ・AWS Gateway Load Balancer + セキュリティ仮想アプライアンス・AWS Shield(Standard ,Advanced) AWS Network Firewall AWS Gateway Load Balancer AWS WAF AWS Shield

3. AWSでのNWセキュリティ対策 11 n Security Group • IPアドレスとポートで制御を⾏う • ステートフル
• 無料で利⽤出来るスタンダードなセキュリティ対策 • EC2やELBなどが保護リソースとなる n Network ACL • IPアドレスとポートで制御を⾏う • ステートレス • 無料で利⽤出来るスタンダードなセキュリティ対策 • VPC サブネットが保護リソースとなる

3. AWSでのNWセキュリティ対策 12 n AWS WAF • CloudFront、ALB、API Gatewayが保護リソースとなる •
L4(IPベース)だけでなく、L7(SQLインジェクションなど)に対しての対策が可能 • 適⽤するルールの数などによって料⾦が変動する重量課⾦ n AWS Gateway Load Balancer + セキュリティ仮想アプライアンス • デプロイするセキュリティ仮想アプライアンスの冗⻑化が可能 • 負荷状況によりアプライアンスのスケーリングが可能 • 制御内容は仮想アプライアンスに準ずる • VPC内を流れるパケットの制御や検閲を⾏う

3. AWSでのNWセキュリティ対策 13 n AWS Shield (Standard ,Advanced) • DDoS攻撃を⾃動緩和
• L7に対する攻撃も防御対象(Advancedのみ) • CloudFrontやELB、Route53などのリソースが保護対象となる n AWS Network Firewall • VPC単位でパケットの制御が可能 • IPアドレスとポート制限だけでなく、URLのフィルタリングも可能 • Suricata互換のIPSルールが定義可能

3. AWSでのNWセキュリティ対策 14 n どのサービスを利⽤すれば良いか・防御したい領域により選択するサービスが異なる・１つのサービスだけでは強固なセキュリティを確保するのは難しいのでサービスを組み合わせて多層防御を・予算や知⾒、運⽤負荷等を考慮してサービスを選定

3. AWSでのNWセキュリティ対策 15 n ⽐較⼀覧 Security Group Network ACL AWS
WAF AWS Network Firewall AWS Shield Advanced AWS Gateway Load Balancer 役割送信元アドレスとポートによるアクセス制限送信元アドレスとポートによるアクセス制限アプリケーションの保護 DDoS対策トラフィックの検査とフィルタリング DDoSからの保護セキュリティアプライアンスの冗⻑化レイヤー L3 -L4 L3 -L4 L7 L3- L7 L3 -L7 L3 -L7 適⽤場所 EC2やELBなど VPC ALB ,CloudFront,API Gatewayなど VPC CloudFrontやELB、 Route53などデプロイするアプライアンス製品による料⾦無料無料従量課⾦従量課⾦定額料⾦従量課⾦

3. AWSでのNWセキュリティ対策 16 n 今回は AWS Network Firewall についてです

4. AWS Network Firewall 17

4. AWS Network Firewall 18 n AWS Network Firewallで出来ること •
ステートレスパケットフィルタ(5-tuple) • ステートフルパケットフィルタ(5-tuple) • ドメインの制御 • Suricata互換のIPS 5-tupleとは「送信元IP」、「送信元ポート番号」、「宛先IP」、「宛先ポート番号」「プロトコル番号」の５つを指定して制御ルールを記載すること

4. AWS Network Firewall 19 n SLAと料⾦体系 • ファイアーウォールエンドポイントに対する課⾦時間 0.395/h
USD ※NAT Gatewayと併⽤するとNAT Gatewayの料⾦は無料・SLA 稼働率99.99% マネージドサービスのため、サーバーのメンテナンスが不要。ルール設定等に注⼒する事が出来る。

4. AWS Network Firewall 20 n ステートレスパケットフィルタ(5-tuple) • ステートレスパケットフィルタは⾏きと帰りの通信を双⽅向で許可する必要があるフィルタリング⽅法

4. AWS Network Firewall 21 n ステートフルパケットフィルタ(5-tuple) • ステートフルパケットフィルタは⾏きの通信のみを定義するだけで帰りの通信は⾃動的に許可されるフィルタリング⽅式

4. AWS Network Firewall 22 n ドメインの制御・www.iret.co.jpのようなドメインで制御(ホワイト/ブラックリスト)ができるフィルタリング⽅式・ドメインの制御はステートフル

4. AWS Network Firewall 23 n Suricata互換のIPS ・シグネチャ型(パターンベース)のIPSが実装可能・シグネチャをカスタムで定義することも、公開されているシグネチャを利⽤する事も出来る

4. AWS Network Firewall 24 n 公開されているシグネチャ例・ThreatSignaturesScannersStrictOrde スキャンツールからの偵察と調査を検出するためのシグネチャ
・ThreatSignaturesMalwareCoinminingStrictOrder マルウェアコインマイニングを検出するためのシグネチャ

4. AWS Network Firewall 25 n シグネチャの中⾝・www.iret.co.jp へのhttps通信をdropするシグネチャ drop
tcp $HOME_NET any -> any(msg:“違反検出 https://www.iret.co.jp"; tls.sni; cont$EXTERNAL_NET ent:"www.iret.co.jp"; startswith; endswith; flow:to_server, established; sid:1000001; rev:1;) drop このルールに違反した時のアクション tcp $HOME_NET any -> $EXTERNAL_NET any HOME_NET このNetwork FirewallがデプロイされているVPC CIDRから,それ以外のIPアドレスへのtpcポート全て msg:“違反検出 https://www.iret.co.jp このルールに該当した場合にログに出⼒されるメッセージ tls.sni; content:“www.iret.co.jp”; startswith; endswith; SNIフィールドにwww.iret.co.jpが含まれた場合 flow:to_server, established クライアントからwww.iret.co.jpを提供しているサーバーに対して通信が確⽴されたものにルールを適⽤する sid:1000001; rev:1; ルールの識別⼦とリビジョン番号(ユーザーが作成したシグネチャのIDは1000000-1999999で指定)

4. AWS Network Firewall 26 n AWS Network Firewallの構成要素・ファイアーウォール
・ファイアウォールポリシー・ルールグループ

4. AWS Network Firewall 27 n ファイアーウォール・AWS Network Firewall構築時に指定したサブネットにGateway
Load Balancerのエンドポイントが作成されるため、検査対象の通信は⼀時的にVPC外へ転送されることになる。

4. AWS Network Firewall 28 n ファイアーウォールポリシー・AWS Network Firewallで検査する動作を指定する。
ルールグループの順序やアクションを管理する。

4. AWS Network Firewall 29 n ファイアーウォールルールグループ・ファイアーウォールルールの順序やアクションを管理する。

4. AWS Network Firewall 30 n ファイアーウォールルールグループの種類ステートレスルールステートフルルールアンマネージドステートレスルール
※マネージドステートレスルールは、提供されていないアンマネージドステートフルルールマネージドステートフルルール

4. AWS Network Firewall 31 n ファイアーウォールルールグループの種類・アンマネージドステートレスルールグループステートレスパケットフィルタリングを定義するルールグループユーザーでステートレスルールを設定(IPアドレスとポート)
・アンマネージドステートフルルールグループステートフルルールグループを定義するルールグループユーザーでステートフルルールを設定(IPアドレスとポート、ドメイン、シグネチャ) ・マネージドステーフルルールグループ AWSから提供されているルールグループ MalwareDomainsActionOrder ・・・既知のマルウェアをホストしているドメインへの通信をブロックするルール

4. AWS Network Firewall 32 n ファイアウォールルールの評価順序 1.ステートレスルールに定義されているルール 2.ステートフルルールに定義されているルールの順序で評価が⾏われる
ルールに⼀致しない通信に対してどのような動作をさせるのかという設定を⾏うものが「デフォルトのアクション」

4. AWS Network Firewall 33 n ステートレスルールのデフォルトのアクションの考え⽅パケットの種類(フラグメント/通常) により処理を分けるか全てに同じデフォルトアクションを適⽤
フラグメント化されたパケットはルールを分けるフラグメント化されたパケット通常のパケット全て許可全て許可全て拒否全て拒否ステートフルルールに転送ステートフルルールに転送 or 全て許可全て拒否ステートフルルールに転送 or or or or or ※何れかの処理を実⾏ ※何れかの処理を実⾏ ※何れかの処理を実⾏ Yes No ステートレスルールに該当しない

4. AWS Network Firewall 34 n ステートフルルールのデフォルトのアクションの考え⽅全てをドロップ or 確⽴された接続のパケットをドロップ
or/and すべてアラート確⽴された接続のパケットをアラート or/and ドロップを選択しない場合は全て許可となるステートレスルールから転送ステートフルルールに該当しない ※何れかの処理を実⾏ ※何れかの処理を実⾏アラートログをcloudwatch logsに出⼒

4. AWS Network Firewall 35 n ルール定義の考え⽅・許可したい通信のみを定義して、それ以外の通信は暗黙のDenyで拒否するホワイトリスト⽅式・許可したくない通信のみを定義して拒否するブラックリスト⽅式⽅式
採⽤するケースメリットデメリットホワイトリスト⽅式・セキュリティ要件が⾼い環境・未知の攻撃に効果を発揮する・想定外の通信をさせない・ユーザビリティに影響・ルールが複雑になりがちブラックリスト⽅式・セキュリティ要件が緩い環境・正常な通信を妨げない・未知の攻撃に対処出来ない

4. AWS Network Firewall 36 構成パターン例

4. AWS Network Firewall 37 n 分散型の共有モデル

4. AWS Network Firewall 38 n 集約型の展開モデル

4. AWS Network Firewall 39 n AWS Network Firewallの私が⾒た利⽤⽅法・フォワードプロキシとして利⽤
URLフィルタリングなどの要望が稀によくあるインターネットが送信元となる通信に対する防御ルールを構成することも可能だが AWS WAFやセキュリティグループなどで防御や制限を実施する⽅法をよくみる

5. まとめ 40

5. まとめ 41 n まとめ・マネージドサービスのため、リソース管理が不要でルールの管理といったセキュリティ強化の検討に注⼒することが出来る • ステートレスパケットフィルタ、ステートフルパケットフィルタ、ドメインの制御、 Suricata互換のIPSを⽤いて柔軟にルールを構成することが出来る
・セキュリティは製品を１つ導⼊する事で担保できるという事ではなく、製品の特徴を理解し、⽬的に応じて多層防御を⾏う必要がある

ご清聴ありがとうございました 42

第122回 雲勉【オンライン】AWS Network Firewallを学んでみる

第122回 雲勉【オンライン】AWS Network Firewallを学んでみる

More Decks by iret.kumoben

Other Decks in Technology

Featured

Transcript

第122回雲勉【オンライン】AWS Network Firewallを学んでみる

第122回雲勉【オンライン】AWS Network Firewallを学んでみる