Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第33回 JAWS-UG札幌 クラウド女子会コラボ 勉強会
Search
nagisa_53
February 02, 2024
Education
680
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
第33回 JAWS-UG札幌 クラウド女子会コラボ 勉強会
#jawsug
#クラウド女子会
nagisa_53
February 02, 2024
More Decks by nagisa_53
See All by nagisa_53
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
nagisa53
1
330
AWS Network Firewall Proxyを触ってみた
nagisa53
1
480
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
300
Rodeoで感じたアーキテクチャ図は言語の壁を越える!?
nagisa53
1
85
re:Invent 2025で発表されたNW系のアップデートについて?
nagisa53
1
85
ラスベガス到着~12/2までに現地で学んだこと
nagisa53
0
30
ALBのURL / Host Header rewriteを試してみた
nagisa53
0
470
re:Inventに向けてウォームアップしよう!
nagisa53
1
280
re:Inventに行くまでにやっておきたいこと
nagisa53
0
2.6k
Other Decks in Education
See All in Education
Case Studies and Future Research - Lecture 12 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
200
Soluciones al examen de Geografía 2026. JULIO (Convocatoria Extraordinaria)
juanmartin2026
1
6.7k
吉祥寺.pmは1つじゃない — 複数イベント並走運営の12年 —
magnolia
0
1.3k
[2026前期火5] 論理学(京都大学文学部 前期 第3回)「形式言語と四つのキーワード:メタ・構成・意味論・ハーモニー」
yatabe
0
590
アラムコSTEAMチャレンジ 実践報告書
codeforeveryone
0
170
Lectura 2 (PIT : Python Basico)
robintux
0
370
2026年度春学期 統計学 第3回 クロス集計と感度・特異度,データの可視化 (2026. 4. 23)
akiraasano
PRO
0
180
Examen de Selectividad. Geografía junio 2026 (Convocatoria Ordinaria). UCLM
juanmartin2026
1
1.5k
生成AI時代の情報発信
molmolken
0
140
[2026前期火5] 論理学(京都大学文学部 前期 第8回)「正規化定理の証明」
yatabe
0
220
Visionary Initiative: Materials-Positive Society 「モノの進化をポジティブな社会の原動力に」|Science Tokyo(東京科学大学)
sciencetokyo
PRO
0
620
Info Session MSc Computer Science & MSc Applied Informatics
signer
PRO
0
300
Featured
See All Featured
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
320
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
260
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
3k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
650
Joys of Absence: A Defence of Solitary Play
codingconduct
1
410
How to Talk to Developers About Accessibility
jct
2
290
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
460
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
180
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
220
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.2k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.6k
Transcript
JAWS-UG札幌 クラウド女子会コラボ 勉強会 AWS Network Firewall のルーティング周りを整理してみた 2024/2/4 クラウド女子会 五味
なぎさ
自己紹介 所属:某SIer勤務 職種:インフラ・クラウドアーキテクト (お客様向けシステムの提案・設計・構築・運用支援) 趣味:キックボクシング、スキューバダイビング、離島旅 好きなAWSサービス:ネットワーク系サービス全般
その他: 2022/2023 Japan AWS All Certifications Engineers JAWS-UGクラウド女子会運営 X(旧Twitter):@nagisa_53
目次 AWS Network Firewallとは? なぜ今回のタイトルの内容をテーマとしたのか 前提となる知識 ルーティング構成は実際こうなる おわりに
VPC内で利用できるAWSマネージドなファイアウォール 特長 AWSにより可用性と自動スケーリングが管理される ステートフル/ステートレスルールを用いアクセス制御を行う TLSインスペクションも利用可能
ドメインベースでの通信制御が可能 SuricataベースのIPSポリシーが利用可能 Managed Threat Signaturesとして提供されるマネージドルールを利用することも可能 AWS Network Firewallとは? インターネット向け通信のドメインベースでのアクセス制御や AWSマネージドサービスに閉じる形でIPSやUTMに準ずる機能を 利用したい場合に導入検討されることが多いサービス AWS Network Firewall
なぜ今回のタイトルの内容をテーマとしたのか 毎回検討時に自身もどうだったっけ?となりがちなため、 本LTをきっかけに再度頭の整理してみることに 確かに便利なサービスではあるのだが、 NAT Gatewayと組み合わせて利用する場合や、 Inbound/Outbound双方向で利用しようとする場合、など、 単一VPC内の利用であってもルーティング設計がやや複雑 • 上記が目的のため、Network
Firewallの機能周りにはP4以上の内容に触れません • ちなみにNetwork Firewall周りの問題はAWS Certified Advanced Networking – Specialty 試験でよく出題されます!
前提 NW Firewallを利用するためにVPC内にNetwork Firewall Endpointを作成する Endpointは選択したサブネットに作成される(可用性を考慮する場合複数AZに作成)
Network Firewall Endpoint用には専用のサブネットを作成することが推奨 このサブネットに他のリソースを配置してしまうとそのリソースが検査できないため NW Firewall自体にNAT GatewayのようなGIPへのNAPT機能はない インターネット向け通信を行うにはコンポーネントにGIP付与 or NAT Gatewayが必要 検査したいトラフィックがNetwork Firewall Endpointを通過するように 特殊なルーティング設定を行う必要がある 実現するための技術として 前提となる知識 VPC Ingress Routing More Specific Routing(MSR)
VPC Ingress Routing Internet Gatewayにデフォルトのローカルルートより優先される(ロンゲスト マッチさせられる)ルートテーブルを付与できる機能 例えば10.0.0.0/8のVPCのIGWに対し10.1.1.0/24向けの通信は特定のENIに向ける、など
仮想アプライアンス製品(IPS、FWなど)を通すことを主な目的に2019年に機 能追加された More Specific Routing(MSR) デフォルトのローカルルートより具体的なルートがルートテーブルに追加可能 例えば右記のような形 2021年8月に利用可能になった機能 前提となる知識 宛先 Route 10.0.0.0/8 local 10.0.1.0/24 ENI-xx
①:VPC内Outbound 通信 ルーティング構成は実際こうなる 10.0.0.0/16 Private subnet 10.0.3.0/24 Firewall subnet
10.0.2.0/24 Public subnet 10.0.1.0/24 Internet gateway NAT gateway NFW Endpoint AWS Network Firewall Application 0.0.0.0/0 > Internet gateway 10.0.0.0/16 >local 10.0.3.0/24 > Network Firewall Endpoint → 保護対象サブネット向けのルールをNFWに向ける MSR 0.0.0.0/0 > NAT gateway 10.0.0.0/16 >local 0.0.0.0/0 > Network Firewall Endpoint 10.0.0.0/16 >local
①補足 2021/8にMore Specific Routing(MSR)が利用できるようになるまでは、 NAT GatewayがNetwork Firewall Endpointの内側になる構成(VPC
Ingress Routingで実現する方式)しか組めなかったため以下のような課題があった Network Firewall到達時の送信元IPアドレスがNAT GatewayにNATされているため、 送信元IPアドレスベースのルールが利用できない 同様の理由で、Network Firewallのアクセスログから送信元の判別が困難 ルーティング構成は実際こうなる
②:VPC内Inbound通信 ルーティング構成は実際こうなる 10.0.0.0/16 Private subnet 10.0.3.0/24 Firewall subnet 10.0.2.0/24
Public subnet 10.0.1.0/24 Internet gateway NFW Endpoint AWS Network Firewall Application 0.0.0.0/0 > Internet gateway 10.0.0.0/16 >local 10.0.3.0/24 > Network Firewall Endpoint → 保護対象サブネット向けのルールをNFWに向ける MSR 0.0.0.0/0 > NAT gateway 10.0.0.0/16 >local 0.0.0.0/0 > Network Firewall Endpoint 10.0.0.0/16 >local 10.0.1.0/24 > Network Firewall Endpoint → ALBへの戻りの通信をNFWに向ける Application Load Balancer MSR ALBでSNATされている のでApplicationサーバ の直接の宛先はALB ALBでHTTPSを終端すれば NFW通過時に暗号化が解かれ た状態にできる
②補足 P10の構成の課題としては、ALB→ Network Firewall Endpointとなるため、 Network Firewall到達時の送信元IPアドレスがALBになる(※)
構成としてALBとNetwork Firewall Endpointを逆にすることも可能 ( VPC Ingress Routingを利用) ただし上記の場合HTTPS通信の場合に暗号化された状態でNetwork Firewallを通 るため、アプリケーション層の検査まで行う場合は、TLSインスペクションの利 用が必要となる ルーティング構成は実際こうなる ※後段にIPアドレスを伝える場合、ALBでX-Forwarded-Forの利用が可能だが、IPヘッダのSource Address はALBのままで、X-Forwarded-ForヘッダにALB到達時の送信元IPアドレスを含める形になる。AWS Network Firewallでは各ポリシーで利用する送信元IPアドレスとしてXFFを利用することはできないため、 送信元IPアドレスベースのポリシーを作成したい場合に課題になる。
① + ②:①+②であれば1つのANFでInbound/Outbound制御が可能 ルーティング構成は実際こうなる 10.0.0.0/16 Private subnet 10.0.3.0/24 Firewall
subnet 10.0.2.0/24 Public subnet 10.0.1.0/24 Internet gateway NFW Endpoint AWS Network Firewall Application 0.0.0.0/0 > Internet gateway 10.0.0.0/16 >local 10.0.3.0/24 > Network Firewall Endpoint → 保護対象サブネット向けのルールをNFWに向ける MSR 0.0.0.0/0 > NAT gateway 10.0.0.0/16 >local 0.0.0.0/0 > NFW Endpoint 10.0.0.0/16 >local 10.0.1.0/24 > Network Firewall Endpoint → ALBへの戻りの通信をNFWに向ける Application Load Balancer MSR NAT gateway
③他VPCからの利用(Outbound集約) ルーティング構成は実際こうなる 共有VPC 10.0.0.0/16 Firewall subnet 10.0.2.0/24 Public subnet
10.0.1.0/24 Internet gateway NAT gateway NFW Endpoint AWS Network Firewall 0.0.0.0/0 > Internet gateway 10.0.0.0/16 >local 10.1.0.0./16 > NFW Endpoint 0.0.0.0/0 > NAT gateway 10.0.0.0/16 >local 10.1.0.0./16 > TGW Client VPC 10.1.0.0/16 Private subnet 10.1.3.0/24 Client TGW subnet 10.1.4.0/24 TGW ENI TGW subnet 10.0.4.0/24 TGW ENI AWS Transit Gateway 0.0.0.0/0 > NFW Endpoint 10.0.0.0/16 >local 0.0.0.0/0 >共有VPC Attachment 10.1.0.0/16 >ClientVPC Attachment 0.0.0.0/0 >TGW 10.1.0.0/16 >local
④他VPCからの利用(Inbound検査) ルーティング構成は実際こうなる 共有VPC 10.0.0.0/16 Firewall subnet 10.0.0.0/24 NFW Endpoint
AWS Network Firewall 10.0.0.0/16 >local 10.2.0.0./16 > TGW 10.3.0.0/16 > TGW Ingress VPC 10.2.0.0/16 TGW subnet 10.2.1.0/24 TGW ENI TGW subnet 10.0.1.0/24 TGW ENI AWS Transit Gateway 0.0.0.0/0 > NFW Endpoint 10.0.0.0/16 >local Public subnet 10.2.0.0/24 Application Load Balancer 0.0.0.0/0 >IGW 10.2.0.0/16 >local 10.3.0.0/16 > TGW Application VPC 10.3.0.0/16 TGW subnet 10.3.1.0/24 TGW ENI Private subnet 10.3.0.0/24 Application 10.3.0.10 Internet gateway Target:10.3.0.10 0.0.0.0/0 >共有VPC Attachment 0.0.0.0/0 >共有VPC Attachment ※往復の通信を1本の線に省略 10.2.0.0/16> Ingress VPC Attachment 10.3.0.0/16 >Application VPC Attachment 0.0.0.0/0 >TGW 10.3.0.0/16 >local :TGW Attachment
Network Firewallのルーティング周りについて整理してみました (やっぱりちょっと複雑) 次はオンプレとの接続なども整理したいと思います おわりに