組織におけるAWSネットワーク集約王者決定戦

Transcript

1. まるクラ勉強会 ONLINE #2
 - AWS&Google Cloudの環境分離戦略編 -
 組織におけるAWSネットワーク集約王者決定戦
 クラスメソッド（株） AWS事業本部

   平木 佳介
 1

2. 自己紹介 2 ~$ whoami
 平木佳介 (Hiraki Keisuke)
 ~$
 ~$ jobs


   [2]+ 実行中 クラスメソッド(株) AWS事業本部 コンサルティ ング部
 ~$
 ~$ groups
 ソリューションアーキテクト | AWS Community Builder
 ~$
 ~$ cat 平木佳介.conf | grep 趣味
 趣味： 旅行/推し事
 ~$
 ~$ cat 平木佳介.conf | grep 最近戯れているサービス
 最近戯れているサービス： Transit Gateway


3. 3 イントロ
 皆さんはネットワーク集約
 と聞いて何を思い浮かべますか？


4. 4 イントロ
 Transit Gateway？
 Network Firewall？
 AWSのサービスって200種類あんねん...
 Route 53 Application

   Recovery Controller？
 AWS Nanmo Wakaran？
 Direct Connect Gateway？
 Gateway Load Balancer？


5. 5 イントロ
 本日はそんなお悩みのAWSエンジニアのために
 様々なソリューションたちが集結し頂点を決めます


6. 6 イントロ • 「頂点を決める」と言っていますが決まりません
 ◦ AWSのベストプラクティスがシステムのベストプラクティスとは限らないため
 • 部門毎に評価します
 ◦ インバウンド通信（インターネット）

   
 ◦ アウトバウンド通信（インターネット） 
 ◦ DNS（オンプレミス-AWS間）
 ◦ VPCエンドポイント
 • 評価項目は以下で5段階で評価します
 ◦ コストの低さ
 ◦ 運用効率の高さ
 ◦ 学習コストの良さ
 ◦ 柔軟性の高さ
 ◦ セキュリティ
 ルール


7. 7 組織におけるAWSネットワーク集約王者決定戦 開幕！

8. 8 部門 インバウンド通信
 01
 02
 04
 03
 アウトバウンド通信
 DNS
 VPCエンドポイント


9. 9 部門 インバウンド通信
 01
 02
 04
 03
 アウトバウンド通信
 DNS
 エンドポイント


10. 10 インバウンド通信 Transit Gateway
 PrivateLink
 VS.


11. 11 インバウンド通信 Transit Gateway
 メリット デメリット 接続先のVPCが多数となる場合に効率良くルーティングの設定 が可能となる。 ブラックホールルートを活用することでアプリケーションVPC間 の通信を禁止するようなルーティングも可能。

    Transit Gatewayルートテーブルが複数必要となるためルーティン グの知識がある程度必要。 Transit Gatewayのトラフィック量やアタッチメントに対してのコスト そこそこ発生してしまう。

12. 12 インバウンド通信 PrivateLink
 メリット デメリット セキュリティグループとエンドポイントポリシでのアクセス制御が 可能。 接続先VPCのCIDRが考慮不要となる。 接続先のVPCが多いほど設定する PrivateLinkが増えてしまう。

    プロバイダ（NLB）があるAZにのみ作成可能なことを考慮に入れ る必要がある。

13. 13 インバウンド通信 評価
 組織全体で共通のインバウンド通信を設ける場合
 ⇒接続先VPCが多くなることから、こちらのほうが運 用効率良し。
 ※CIDR重複を避けられない場合はPrivateLinkの併 用もあり。
 プロジェクト内でのみマルチアカウント構成を取っ ている場合やSaaSとして他社に提供するような場

    合もあれば検討の余地あり。


14. 14 部門 インバウンド通信
 01
 02
 04
 03
 アウトバウンド通信
 DNS
 エンドポイント


15. 15 アウトバウンド通信 NAT Gateway
 Network Firewall
 VS.


16. 16 アウトバウンド通信 NAT Gateway
 メリット デメリット 割高になりやすいNAT Gatewayの費用を集約し、コストを下げ ることができる。 シンプルに構築可能。

    アウトバウンド通信の制御を行いたい場合には、各アプリケーショ ン側で考慮することになる。

17. 17 アウトバウンド通信 Network Firewall
 メリット デメリット Network Firewallによるトラフィックの検査が可能になりセキュ リティが向上する。 マネージドサービスによる高可用性とスケーラビリティを享受で

    きる。 ポリシーをホワイトリスト形式にするかブラックリスト形式にするか など設定が複雑になる。 Network Firewallのコストが割高となる。

18. 18 アウトバウンド通信 評価
 セキュリティ要件が緩い環境やNAT Gatewayのコ ストを減らしたい場合に検討する。
 ※場合によってはTransit Gatewayを使ったことで 料金が増えることもある
 セキュリティ要件が高い環境かつ大規模な基盤の

    ガバナンスを効かせたい場合に検討する。
 内部通信も検査したい場合は、監査用VPCで分離 するアーキテクチャもよし。


19. 19 アウトバウンド通信 Tips
 Route 53 Resolver DNS Firewall とは、
 Route

    53 Resolver の Firewall を提供する機能。 
 
 • ドメインベースのフィルタリング
 • Firewall ManagerやRAMを活用したクロースアカウント でのポリシー管理
 などが実装可能。
 
 EC2が乗っ取られたような場合に悪意のあるサーバとの DNSを介した通信をブロック可能。 
 ※直接名前解決先のIPアドレスを使用したアクセスを行っ た場合はブロックされないため、攻撃の根本的な対策とは なりえない。


20. 20 部門 インバウンド通信
 01
 02
 04
 03
 アウトバウンド通信
 DNS
 エンドポイント


21. 21 DNS オンプレ管理
 AWS管理
 VS.


22. 22 DNS オンプレ管理
 メリット デメリット オンプレミス側の処理で高速な名前解決が必要なソリューショ ンの場合には有効。 リゾルバールールをRAMで共有することでDNSアカウントとメン バーアカウント間の接続が不要。 レコード管理が煩雑となり運用効率が下がる恐れがある

    DNSサーバを管理する必要が出るため運用コストが発生する。

23. 23 DNS AWS管理
 メリット デメリット Route53のマネージドサービスとしてのメリットを享受できる。 ALIASレコードや様々なルーティングポリシーなど多機能な Route53を活用できる。 オンプレミスのDNSサーバーからRoute53への移行が必要とな る。

    物理的な距離によるレイテンシは発生する

24. 24 DNS 評価
 自社のDNSサーバーで管理する必要がある要件 がある場合にはこちらの方法になる。
 Route53でドメイン管理が行える要件の場合には 基本的にはこちらのほうが良さそう。
 DNSサーバが不要であったりレコード設定が容易 などのメリットが大きい。


25. 25 部門 インバウンド通信
 01
 02
 04
 03
 アウトバウンド通信
 DNS
 エンドポイント


26. 26 VPCエンドポイント VPCエンドポイント集約構成


27. 27 VPCエンドポイント VPCエンドポイント集約構成
 メリット デメリット 案外高いVPCエンドポイントのコストを下げることができる。 Transit Gatewayではなくても集約VPCまでIP到達可能な状態 であれば良い。 VPCエンドポイントポリシーで細かく制御を行っているような場合

    に上限にひっかかる可能性がある （とはいえ20,480文字）

28. 28 VPCエンドポイント 評価
 強制的にVPC内サービスとAWSサービスとの間を プライベートに保てるのでおすすめ。
 アカウント数が多ければ多いほどコスト削減の割 合が増えていく。


29. 29 そもそもなぜネットワーク集約するのか


30. 30 なぜネットワーク集約するのか アカウント数が多ければ多いほど、様々な管理コストがかかってきます。
 より管理者・担当者双方が楽になるためにも集約して少しでも運用負荷を減らす。
 セキュリティガ バナンス
 コスト削減
 運用負荷 の軽減


31. 31