Upgrade to Pro — share decks privately, control downloads, hide ads and more …

組織におけるAWSネットワーク集約王者決定戦

平木佳介
May 15, 2024
510

 組織におけるAWSネットワーク集約王者決定戦

まるクラ勉強会 ONLINE #2 #02 - AWS&Google Cloudの環境分離戦略編 - 登壇資料

平木佳介

May 15, 2024
Tweet

Transcript

  1. 自己紹介 2 ~$ whoami
 平木佳介 (Hiraki Keisuke)
 ~$
 ~$ jobs


    [2]+ 実行中 クラスメソッド(株) AWS事業本部 コンサルティ ング部
 ~$
 ~$ groups
 ソリューションアーキテクト | AWS Community Builder
 ~$
 ~$ cat 平木佳介.conf | grep 趣味
 趣味: 旅行/推し事
 ~$
 ~$ cat 平木佳介.conf | grep 最近戯れているサービス
 最近戯れているサービス: Transit Gateway

  2. 4 イントロ
 Transit Gateway?
 Network Firewall?
 AWSのサービスって200種類あんねん...
 Route 53 Application

    Recovery Controller?
 AWS Nanmo Wakaran?
 Direct Connect Gateway?
 Gateway Load Balancer?

  3. 6 イントロ • 「頂点を決める」と言っていますが決まりません
 ◦ AWSのベストプラクティスがシステムのベストプラクティスとは限らないため
 • 部門毎に評価します
 ◦ インバウンド通信(インターネット)

    
 ◦ アウトバウンド通信(インターネット) 
 ◦ DNS(オンプレミス-AWS間)
 ◦ VPCエンドポイント
 • 評価項目は以下で5段階で評価します
 ◦ コストの低さ
 ◦ 運用効率の高さ
 ◦ 学習コストの良さ
 ◦ 柔軟性の高さ
 ◦ セキュリティ
 ルール

  4. 11 インバウンド通信 Transit Gateway
 メリット デメリット 接続先のVPCが多数となる場合に効率良くルーティングの設定 が可能となる。 ブラックホールルートを活用することでアプリケーションVPC間 の通信を禁止するようなルーティングも可能。

    Transit Gatewayルートテーブルが複数必要となるためルーティン グの知識がある程度必要。 Transit Gatewayのトラフィック量やアタッチメントに対してのコスト そこそこ発生してしまう。
  5. 17 アウトバウンド通信 Network Firewall
 メリット デメリット Network Firewallによるトラフィックの検査が可能になりセキュ リティが向上する。 マネージドサービスによる高可用性とスケーラビリティを享受で

    きる。 ポリシーをホワイトリスト形式にするかブラックリスト形式にするか など設定が複雑になる。 Network Firewallのコストが割高となる。
  6. 19 アウトバウンド通信 Tips
 Route 53 Resolver DNS Firewall とは、
 Route

    53 Resolver の Firewall を提供する機能。 
 
 • ドメインベースのフィルタリング
 • Firewall ManagerやRAMを活用したクロースアカウント でのポリシー管理
 などが実装可能。
 
 EC2が乗っ取られたような場合に悪意のあるサーバとの DNSを介した通信をブロック可能。 
 ※直接名前解決先のIPアドレスを使用したアクセスを行っ た場合はブロックされないため、攻撃の根本的な対策とは なりえない。

  7. 31