閉域要件におけるEC2のアクセス制御～SaaS・PrivateLinkの罠とNetwork Firewallの活用～

閉域要件におけるEC2のアクセス制御～SaaS・Private Link の罠と Network Firewall の活用～ 2022.5.30 Security-JAWS 第25回
Copyright (c) Mizuho Research & Technologies, Ltd. All Rights Reserved. （免責事項）当資料は情報提供のみを目的として作成されたものであり、商品の勧誘を目的としたものではありません。本資料は、当社が信頼できると判断した各種データに基づき作成されておりますが、その正確性、確実性を保証するものではありません。また、本資料に記載された内容は予告なしに変更されることもあります。

自己紹介  氏名：松尾優成（まつおゆうせい）  所属：みずほ RT 先端技術研究部兼
プロジェクト推進部  役割：  AWS社内案件の設計・構築サポート  みずほグループ横断コミュニティ ”コクリエ” の運営

みずほのAWS利用状況  重要情報を扱うシステムの場合、閉域網とすることが主流  AWS と自社設備のハイブリッド・クラウド構成となることが多い  ベストプラクティスに沿って、マルチアカウント構成が主流

前回は、閉域構成での S3 関連ポリシーを紹介 #secjaws23

本日話すこと  SaaS・Private Link の罠と Network Firewall の活用  閉域構成での
EC2 アクセス制御（Session Manager 利用）  IAM ポリシー  IAM ロールの信頼ポリシー  VPC エンドポイントポリシー

本日話すこと（前半戦）  SaaS・Private Link の罠と Network Firewall の活用  閉域構成でのEC2アクセス制御（Session
Manager利用）  IAMロールの信頼ポリシー  VPCエンドポイントポリシー  IAMポリシー

AWS Network Firewall とは・・・  URL フィルタリングなど N/W 保護の機能をもつマネージドサービス
 専用の Firewall Endpoint をサブネットに設置して利用  柔軟にルールを設定でき、様々な通信を監査可能 https://aws.amazon.com/jp/blogs/news/networking-and- content-delivery-deployment-models-for-aws-network-firewall/

Network Firewall を活用した構成例を紹介

構成概要 VPC Corporate data center ENI EC2 VPC Transit Gateway
Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway SaaS Manager Server Security Patches Rule Allowed URLs Direct Connect Anti-virus Agent

構成概要 VPC Corporate data center ENI EC2 VPC Direct Connect
Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway SaaS Manager Server Security Patches Rule Allowed URLs Anti-virus Agent  オンプレミスから渡された機微情報を EC2 で分析して還元するシステム（インターネットからのインバウンドアクセスなし） Direct Connect Transit Gateway

構成概要  EC2 にウィルス対策ソフトのエージェントを導入。  エージェントは定義ファイルの更新など、マネージャーサーバーとの通信が必須。 VPC ENI EC2 VPC
Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect

構成概要  エージェントは Firewall Endpoint を経由して、インターネット上のマネージャーサーバーと通信。 VPC ENI EC2
VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect Anti-virus Agent

構成概要  ステートフルドメインリストフィルタで、宛先ドメインを制限。  リストにないドメインに対しては、アクセス拒否。（ホワイトリスト形式） VPC ENI EC2 VPC Transit
Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway SaaS Manager Server Security Patches Rule Allowed URLs Anti-virus Agent Corporate data center Direct Connect

Network Firewall に辿り着いた経緯を振り返る

当初想定していた構成 ※オンプレ部分は割愛 VPC SaaS VPCe EC2 VPC Transit Gateway SaaS
Manager Server VPC VPC Anti-virus Agent PrivateLink North Virginia Region Tokyo Region VPC Peering Private Hosted zone

当初想定していた構成 VPC SaaS VPCe EC2 VPC Transit Gateway SaaS Manager
Server VPC VPC Anti-virus Agent PrivateLink North Virginia Region Tokyo Region VPC Peering Private Hosted zone  マネージャーサーバーとの閉域接続を実現するため、Private Link を利用。

Server VPC VPC Anti-virus Agent PrivateLink North Virginia Region Tokyo Region VPC Peering Private Hosted zone  マネージャーサーバーとの通信用に、バージニア北部リージョンでサービス側が VPC エンドポイントを提供。

Server VPC VPC Anti-virus Agent PrivateLink North Virginia Region Tokyo Region VPC Peering Private Hosted zone  本来は国内リージョンのみを利用したかったものの、 SaaS Private Linkの制約により、やむなく海外リージョンも利用。

Server VPC VPC Anti-virus Agent PrivateLink North Virginia Region Tokyo Region VPC Peering Private Hosted zone  リージョン間接続は、VPC Peering を採用。

Server VPC VPC Anti-virus Agent PrivateLink North Virginia Region Tokyo Region VPC Peering Private Hosted zone  Transit Gateway のクロスリージョン接続も検討したものの、僅かにコストが嵩むため、断念。（ペストプラクティスでない実感はあった・・・）

Server VPC VPC Anti-virus Agent PrivateLink North Virginia Region Tokyo Region VPC Peering Private Hosted zone  上記構成で検証し、問題なく利用できることを確認！

時は流れ、半年後・・・構築フェーズが終わっているはずの時期だった

Private Link 経由でウィルス対策ソフトを利用できなくなった・・・

SaaS の仕様変更が発生していた  マネージャーサーバーのエンドポイント URL が変更。  新 URL は
Private Link に未対応※で、インターネット経路が必須。検証済みと油断していたため、気づくのが遅れた・・・ ※2021年4月時点 SaaS Manager Server PrivateLink 旧 URL 新 URL Internet Gateway 必須！

マネージャーサーバーを自前でホストするには遅すぎたため、代替案を模索・・・プロキシサーバーを置きたくないし、マネージドサービス使いたい…

そんな中、こんなアップデートが・・・

https://aws.amazon.com/jp/about-aws/whats-new/2021/03/

https://aws.amazon.com/jp/about-aws/whats-new/2021/03/ Network Firewall で解決できそう！ (ついでに東京リージョンへ集約できるかも…？)

DevelopersIO や aws-samples を参考にさせていただき、素早く検証・構築！（当時は Blackbelt の公開前だった）

構成概要（再掲）無事に構築できました！ VPC ENI EC2 VPC Transit Gateway Direct Connect
Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect

構成概要（再掲）無事に構築できました！ VPC ENI EC2 VPC Transit Gateway Direct Connect
Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs 構成変更について、担当者が良い感じに社内説明してくれました! Corporate data center Direct Connect

Network Firewall を導入して嬉しかった点を紹介！

Network Firewall 導入の嬉しい点① 基本構成が東京リージョンのみで完結した！※バックアップのみ大阪を利用 VPC ENI EC2 VPC Transit Gateway
Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Tokyo Region Corporate data center Direct Connect

Network Firewall 導入の嬉しい点② アウトバウンドが集約され、ハブ & スポーク型の N/W 構成になった！ VPC ENI
EC2 VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Tokyo Region Corporate data center Direct Connect

Network Firewall 導入の嬉しい点③ 運用課題だった閉域要件の OS パッチ適用が、楽になった！ VPC ENI EC2 VPC
Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Tokyo Region Corporate data center Direct Connect

悩んだこと・・・ AWS 宛の VPC エンドポイントも一部廃止して Network Firewall 経由にしておけば良かった？ VPC VPCe
(I/F型) EC2 com.amazonaws.ap-northeast-1.ec2, com.amazonaws.ap-northeast-1.ssm, etc...

AWS API のアクセスも Network Firewall 経由？ VPC ENI EC2 VPC
Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent Rule Allowed URLs Tokyo Region VPCe ？？？？ Corporate data center Direct Connect

Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent Rule Allowed URLs Tokyo Region VPCe ？？？？ Corporate data center Direct Connect S3 など通信量が大きくなる場合は VPCe 経由がお得

Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent Rule Allowed URLs Tokyo Region VPCe ？？？？ Corporate data center Direct Connect 通信量が少なければ Network Firewall 経由にする？

Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent Rule Allowed URLs Tokyo Region VPCe ？？？？ { "Effect": "Deny", "Principal": {"AWS": "*"}, "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "アカウントA-ID" } } }, { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } #secjaws23 VPCe ポリシー例 Corporate data center Direct Connect

AWS API のアクセスも Network Firewall 経由？ VPC エンドポイントポリシーでアクセス先 AWS アカウントを制限
VPC ENI EC2 VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent Rule Allowed URLs Tokyo Region VPCe ？？？？ { "Effect": "Deny", "Principal": {"AWS": "*"}, "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "アカウントA-ID" } } }, { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } #secjaws23 VPCe ポリシー例 Corporate data center Direct Connect 利用アカウントを自社アカウントのみに制限

AWS API のアクセスも Network Firewall 経由？社外クレデンシャルを持ち込まれた場合、社外アカウントへのデータ流出リスクあり VPC ENI
EC2 VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent Rule Allowed URLs Tokyo Region 社外アカウント流出！社外 Credential Corporate data center Direct Connect Firehose

AWS API のアクセスも Network Firewall 経由？クレデンシャル持ち込みの防止手段として VPC エンドポイントの利用を継続 VPC
ENI EC2 VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent Rule Allowed URLs Tokyo Region VPCe Keep Corporate data center Direct Connect AWSサービスの宛先は未許可

本日話すこと（後半戦）  SaaS・Private Link の罠と Network Firewall の活用Network  閉域構成での
EC2 アクセス制御（Session Manager 利用）  IAM ポリシー  IAM ロールの信頼ポリシー  VPC エンドポイントポリシー

SaaS 利用の問題が解消し、一件落着！と思われたが・・・

社内で新規導入予定の CloudHub で予期せぬ事態が発生した ※CloudHub・・・マルチクラウドの閉域接続サービス（CloudHub はサードパーティで、AWS サービスとは別） VPC ENI
EC2 VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect Cloud Hub

開発者社内 N/W 担当者 Direct Connect と Transit G/W の接続用に
Transit VIF の提供をお願いします。

開発者 Direct Connect と Transit G/W の接続用に Transit VIF の提供をお願いします。
https://d1.awsstatic.com/webinars/jp/pdf/services/ 20210209-AWS-Blackbelt-DirectConnect.pdf 社内 N/W 担当者

Transit VIF は単一であり、個別案件に払い出せません！社内 N/W 担当者

Transit VIF は単一であり、個別案件に払い出せません！ https://d1.awsstatic.com/webinars/jp/pdf/services/ 20210209-AWS-Blackbelt-DirectConnect.pdf 社内 N/W 担当者

Transit VIF は単一であり、個別案件に払い出せません！ ST 直前で急いでいるのですが・・・なんとかなりませんか？？社内 N/W 担当者

Transit VIF は単一であり、個別案件に払い出せません！残念ですが、新規の社内共通基盤に VIF を払い出す予定ですので・・・ ST 直前で急いでいるのですが・・・なんとかなりませんか？？社内 N/W 担当者

Transit VIF は単一であり、個別案件に払い出せません！残念ですが、新規の社内共通基盤に VIF を払い出す予定ですので・・・えっと・・・（詰んだ？） ST 直前で急いでいるのですが・・・なんとかなりませんか？？社内 N/W 担当者

Direct Connect Gatewayと Transit Gatewayが接続できないため、代替案を模索 VPC ENI EC2 VPC Transit
Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect Cloud Hub

【代替案①】 VPC を挟む？ VPC ENI EC2 VPC Transit Gateway Direct
Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect Cloud Hub VPC 直接経路伝播できず、 EC2・NLBなどが必要

VPC ENI EC2 VPC Transit Gateway Direct Connect Gateway ENI
Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect Cloud Hub VPC 直接経路伝播できず、 EC2・NLBなどが必要運用負担になる踏み台リソースを置きたくなかったので、不採用【代替案①】 VPC を挟む？

【代替案②】 Direct Connect GW を各 VPC に繋ぐ？ VPC ENI EC2
VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect Cloud Hub VGW 各 VPC では VGW の追加・ルート変更が必要

【代替案②】 Direct Connect GW を各 VPC に繋ぐ？ VPC ENI EC2
VPC Transit Gateway Direct Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate data center Direct Connect Cloud Hub 各 VPC では VGW の追加・ルート変更が必要 VGW ネットワーク変更が大きく、ハブ & スポーク型でなくなるため、不採用

試行錯誤した結果・・・

Session Manager 案を採用！ VPC ENI EC2 VPC Transit Gateway Direct
Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate Cloud Hub VPC VPCe Session Manager 閉域用 Direct Connect ネットワーク変更が少なく踏み台リソースも不要!

詳細な図を用いて Session Manager での閉域構成を紹介

アカウント A Session Manager の利用イメージ VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role

アカウント A Session Manager の利用イメージ ① 運用者が閉域端末から、アクセス先アカウントの IAM ロール「ssm-role」を引き受け VPC
Corporate data center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI aws sts assume-role --role-arn “arn:aws:iam::[アカウントB]:role/ssm-role” … ssm-role

アカウント A Session Manager の利用イメージ ② 閉域端末で引き受けたロールのクレデンシャルを使い、ポートフォワーディングを実行 VPC Corporate data
center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI aws ssm start-session --document-name AWS-StartPortForwardingSession --target [instance-id] --parameters portNumber=“22",localPortNumber=“10022"… ssm-role

アカウント A Session Manager 閉域利用の注意点① VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role VPC エンドポイント・ssm ・ssmmessages ・ec2messages ・ ...

アカウント A Session Manager 閉域利用の注意点① VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role VPC エンドポイント・ssm ・ssmmessages ・ec2messages ・ ... VPC エンドポイント・ssm ・ssmmessages ・(ec2messages) ・sts ... リクエスト元にも複数の VPCe が必要！→

アカウント A Session Manager 閉域利用の注意点② VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Network ACL を制御している場合、 Port 443 のインバウンドアクセス開放が必要 (Security Group の Port 22 は開放不要)

疑問・・・ Session Manager の閉域利用は本当に安全？

アカウント A Session Manager では、きちんと対策しないと・・・ VPC Corporate data center Direct

アカウント A Session Manager では、きちんと対策しないと・・・ VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI アカウントC（社外）流出！ C データ流出リスクがある！→ EC2 VPC Session Manager VPCe STS C ssm-role

アカウント A Session Manager では、きちんと対策しないと・・・(その②) VPC Corporate data center Direct

アカウント A Session Manager では、きちんと対策しないと・・・(その②) VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI 社外からのアクセスリスクがある！→ ssm-role

どのようにポリシーを組み合わせて Session Manager の利用を閉域に制限する？

アカウント A Session Manager の利用で着目するポリシーは 4 つ VPC Corporate data
center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅰ Ⅳ Ⅲ Ⅰ. アクセスキーの IAMポリシー Ⅱ. VPC エンドポイントポリシー Ⅲ. IAM ロールの信頼ポリシー Ⅳ. IAM ロールの IAM ポリシー Ⅱ ssm-role

アカウント A Ⅰ. アクセスキーの IAM ポリシー ※実態は、IAM グループに紐づくポリシー VPC Corporate
data center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅰ ssm-role

data center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅰ ssm-role { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::${AccountB-ID}:role/ssm-role" }

data center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅰ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::${AccountB-ID}:role/ssm-role" } ssm-role スイッチ先を自社内に制限するため、最小権限を設定！ (キー漏えい時の影響も抑えたい)

アカウント A Ⅱ. VPC エンドポイントポリシー VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅱ ssm-role

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅱ ssm-role { "Effect": "Deny", "Principal": {"AWS": "*"}, "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "AccountIDs" } } }, { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" }

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅱ ssm-role { "Effect": "Deny", "Principal": {"AWS": "*"}, "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "AccountIDs" } } }, { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } アカウントC （社外） C C 社外アカウントのクレデンシャルを持ち込み、社外 EC2 へのアクセスを試みる EC2

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅱ ssm-role { "Effect": "Deny", "Principal": {"AWS": "*"}, "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "AccountIDs" } } }, { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } aws:PrincipalAccount でクレデンシャル持ち込みを禁止！ C アカウントC （社外） C EC2

アカウント A Ⅲ. IAM ロールの信頼ポリシー VPC Corporate data center Direct
Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅲ

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅲ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${UserAccount}:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceVPCe": "${STS-VPCe-ID}" }, "Bool": { "aws:MultiFactorAuthPresent": "true" }, "StringLike": { "sts:RoleSessionName": "${aws:username}" } } }

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅲ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${UserAccount}:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceVPCe": "${STS-VPCe-ID}" }, "Bool": { "aws:MultiFactorAuthPresent": "true" }, "StringLike": { "sts:RoleSessionName": "${aws:username}" } } } 流出したアクセスキー社外からスイッチロールを試みる

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅲ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${UserAccount}:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceVPCe": "${STS-VPCe-ID}" }, "Bool": { "aws:MultiFactorAuthPresent": "true" }, "StringLike": { "sts:RoleSessionName": "${aws:username}" } } } aws:SourceVPCe で社外からのスイッチロールを禁止！流出したアクセスキー

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅲ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${UserAccount}:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceVPCe": "${STS-VPCe-ID}" }, "Bool": { "aws:MultiFactorAuthPresent": "true" }, "StringLike": { "sts:RoleSessionName": "${aws:username}" } } } ← MFA を強制

Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅲ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${UserAccount}:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceVPCe": "${STS-VPCe-ID}" }, "Bool": { "aws:MultiFactorAuthPresent": "true" }, "StringLike": { "sts:RoleSessionName": "${aws:username}" } } } ← CloudTrail でロール使用者を追跡するため STS のセッション名を IAM ユーザー名と一致させるように強制

アカウント A Ⅳ. IAM ロールの IAM ポリシー（スイッチロール後の話） VPC Corporate data
center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅳ

center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅳ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:${Region}:${AccountId}:instance/*", "arn:aws:ssm:::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" }, "StringEquals": { "aws:SourceVPCe": "${SSM-VPCe-ID}" } } }, …

center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅳ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:${Region}:${AccountId}:instance/*", "arn:aws:ssm:::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" }, "StringEquals": { "aws:SourceVPCe": "${SSM-VPCe-ID}" } } }, … 流出した ssm-role の一時クレデンシャル (スイッチロール後) 社外から Session Manager 経由で EC2 へ侵入を試みる

center Direct Connect VPCe 閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI ssm-role Ⅳ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:${Region}:${AccountId}:instance/*", "arn:aws:ssm:::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" }, "StringEquals": { "aws:SourceVPCe": "${SSM-VPCe-ID}" } } }, … aws:SourceVPCe で社外からの Session Manager を禁止！流出した ssm-role の一時クレデンシャル (スイッチロール後)

アカウント A ポリシー関連をまとめてみる VPC Corporate data center Direct Connect VPCe
閉域用 EC2 運用者 Cloud Hub Direct Connect Gateway VPC アカウント B Session Manager VPCe Transit Gateway ENI Ⅰ Ⅳ Ⅲ Ⅰ. アクセスキーの IAMポリシー: 最小権限に制限 (スイッチ先を絞る) Ⅱ. VPC エンドポイントポリシー： aws:PrincipalAccount でクレデンシャルの持込を Deny Ⅲ. IAM ロールの信頼ポリシー Ⅳ. IAMポリシー: aws:sourceVpce (sts, ssm)で社外からのアクセスを Deny Ⅱ ssm-role

ちなみに・・・本アプローチは「データ境界」と呼ばれるガードレールかもしれない

#secjaws23 の発表翌日 Security Roadshow の大トリセッションにて →

#secjaws23 の発表翌日 Security Roadshow の大トリセッションにて → あまりにも嬉しいお言葉に驚き急いで確認しました！

オンデマンド配信で「データ境界」を知る AWS 環境で重要データを保護するセキュリティモデル：データ境界 (Data Perimeter) を学ぶ https://www.awssecevents.com/ja/ondemandtracks/tech_track_5/

オンデマンド配信で「データ境界」を知る AWS 環境で重要データを保護するセキュリティモデル：データ境界 (Data Perimeter) を学ぶ https://www.awssecevents.com/ja/ondemandtracks/tech_track_5/ 今回のポリシー設計もデータ境界のはず・・・？

（再掲！）Network Firewall 導入しました VPC ENI EC2 VPC Transit Gateway Direct
Connect Gateway ENI Network Firewall NAT Gateway Firewall Endpoint Internet Gateway Anti-virus Agent SaaS Manager Server Security Patches Rule Allowed URLs Corporate Cloud Hub VPC VPCe Session Manager 閉域用 Direct Connect

まとめ  プロジェクトリスクとして、SaaS の仕様変更を想定しよう  Network Firewall と VPCe の併用で緻密なアウトバウンド制御可
 閉域で Session Manager 利用時の注意点は・・・ • 最小権限を遵守しているか • クレデンシャルの持込を対策できているか • 社外からのアクセスを防いでいるか

閉域要件におけるEC2のアクセス制御 ～SaaS・PrivateLinkの罠とNetwork ...

閉域要件におけるEC2のアクセス制御 ～SaaS・PrivateLinkの罠とNetwork Firewallの活用～

More Decks by みずほリサーチ&テクノロジーズ株式会社 先端技術研究部

Other Decks in Technology

Featured

Transcript

閉域要件におけるEC2のアクセス制御～SaaS・PrivateLinkの罠とNetwork ...

閉域要件におけるEC2のアクセス制御～SaaS・PrivateLinkの罠とNetwork Firewallの活用～

More Decks by みずほリサーチ&テクノロジーズ株式会社先端技術研究部