組織におけるAWSネットワーク集約王者決定戦

by 平木佳介

Slide 1

Slide 1 text

まるクラ勉強会 ONLINE #2  - AWS&Google Cloudの環境分離戦略編 -  組織におけるAWSネットワーク集約王者決定戦  クラスメソッド（株） AWS事業本部平木佳介  1

Slide 2

Slide 2 text

自己紹介 2 ~$ whoami  平木佳介 (Hiraki Keisuke)  ~$  ~$ jobs  [2]+ 実行中クラスメソッド(株) AWS事業本部コンサルティング部  ~$  ~$ groups  ソリューションアーキテクト | AWS Community Builder  ~$  ~$ cat 平木佳介.conf | grep 趣味  趣味：旅行/推し事  ~$  ~$ cat 平木佳介.conf | grep 最近戯れているサービス  最近戯れているサービス： Transit Gateway 

Slide 3

Slide 3 text

3 イントロ  皆さんはネットワーク集約  と聞いて何を思い浮かべますか？ 

Slide 4

Slide 4 text

4 イントロ  Transit Gateway？  Network Firewall？  AWSのサービスって200種類あんねん...  Route 53 Application Recovery Controller？  AWS Nanmo Wakaran？  Direct Connect Gateway？  Gateway Load Balancer？ 

Slide 5

Slide 5 text

5 イントロ  本日はそんなお悩みのAWSエンジニアのために  様々なソリューションたちが集結し頂点を決めます 

Slide 6

Slide 6 text

6 イントロ ● 「頂点を決める」と言っていますが決まりません  ○ AWSのベストプラクティスがシステムのベストプラクティスとは限らないため  ● 部門毎に評価します  ○ インバウンド通信（インターネット）   ○ アウトバウンド通信（インターネット）   ○ DNS（オンプレミス-AWS間）  ○ VPCエンドポイント  ● 評価項目は以下で5段階で評価します  ○ コストの低さ  ○ 運用効率の高さ  ○ 学習コストの良さ  ○ 柔軟性の高さ  ○ セキュリティ  ルール 

Slide 7

Slide 7 text

7 組織におけるAWSネットワーク集約王者決定戦開幕！

Slide 8

Slide 8 text

8 部門インバウンド通信  01  02  04  03  アウトバウンド通信  DNS  VPCエンドポイント 

Slide 9

Slide 9 text

9 部門インバウンド通信  01  02  04  03  アウトバウンド通信  DNS  エンドポイント 

Slide 10

Slide 10 text

10 インバウンド通信 Transit Gateway  PrivateLink  VS. 

Slide 11

Slide 11 text

11 インバウンド通信 Transit Gateway  メリットデメリット接続先のVPCが多数となる場合に効率良くルーティングの設定が可能となる。ブラックホールルートを活用することでアプリケーションVPC間の通信を禁止するようなルーティングも可能。 Transit Gatewayルートテーブルが複数必要となるためルーティングの知識がある程度必要。 Transit Gatewayのトラフィック量やアタッチメントに対してのコストそこそこ発生してしまう。

Slide 12

Slide 12 text

12 インバウンド通信 PrivateLink  メリットデメリットセキュリティグループとエンドポイントポリシでのアクセス制御が可能。接続先VPCのCIDRが考慮不要となる。接続先のVPCが多いほど設定する PrivateLinkが増えてしまう。プロバイダ（NLB）があるAZにのみ作成可能なことを考慮に入れる必要がある。

Slide 13

Slide 13 text

13 インバウンド通信評価  組織全体で共通のインバウンド通信を設ける場合  ⇒接続先VPCが多くなることから、こちらのほうが運用効率良し。  ※CIDR重複を避けられない場合はPrivateLinkの併用もあり。  プロジェクト内でのみマルチアカウント構成を取っている場合やSaaSとして他社に提供するような場合もあれば検討の余地あり。 

Slide 14

Slide 14 text

14 部門インバウンド通信  01  02  04  03  アウトバウンド通信  DNS  エンドポイント 

Slide 15

Slide 15 text

15 アウトバウンド通信 NAT Gateway  Network Firewall  VS. 

Slide 16

Slide 16 text

16 アウトバウンド通信 NAT Gateway  メリットデメリット割高になりやすいNAT Gatewayの費用を集約し、コストを下げることができる。シンプルに構築可能。アウトバウンド通信の制御を行いたい場合には、各アプリケーション側で考慮することになる。

Slide 17

Slide 17 text

17 アウトバウンド通信 Network Firewall  メリットデメリット Network Firewallによるトラフィックの検査が可能になりセキュリティが向上する。マネージドサービスによる高可用性とスケーラビリティを享受できる。ポリシーをホワイトリスト形式にするかブラックリスト形式にするかなど設定が複雑になる。 Network Firewallのコストが割高となる。

Slide 18

Slide 18 text

18 アウトバウンド通信評価  セキュリティ要件が緩い環境やNAT Gatewayのコストを減らしたい場合に検討する。  ※場合によってはTransit Gatewayを使ったことで料金が増えることもある  セキュリティ要件が高い環境かつ大規模な基盤のガバナンスを効かせたい場合に検討する。  内部通信も検査したい場合は、監査用VPCで分離するアーキテクチャもよし。 

Slide 19

Slide 19 text

19 アウトバウンド通信 Tips  Route 53 Resolver DNS Firewall とは、  Route 53 Resolver の Firewall を提供する機能。     ● ドメインベースのフィルタリング  ● Firewall ManagerやRAMを活用したクロースアカウントでのポリシー管理  などが実装可能。    EC2が乗っ取られたような場合に悪意のあるサーバとの DNSを介した通信をブロック可能。   ※直接名前解決先のIPアドレスを使用したアクセスを行った場合はブロックされないため、攻撃の根本的な対策とはなりえない。 

Slide 20

Slide 20 text

20 部門インバウンド通信  01  02  04  03  アウトバウンド通信  DNS  エンドポイント 

Slide 21

Slide 21 text

21 DNS オンプレ管理  AWS管理  VS. 

Slide 22

Slide 22 text

22 DNS オンプレ管理  メリットデメリットオンプレミス側の処理で高速な名前解決が必要なソリューションの場合には有効。リゾルバールールをRAMで共有することでDNSアカウントとメンバーアカウント間の接続が不要。レコード管理が煩雑となり運用効率が下がる恐れがある DNSサーバを管理する必要が出るため運用コストが発生する。

Slide 23

Slide 23 text

23 DNS AWS管理  メリットデメリット Route53のマネージドサービスとしてのメリットを享受できる。 ALIASレコードや様々なルーティングポリシーなど多機能な Route53を活用できる。オンプレミスのDNSサーバーからRoute53への移行が必要となる。物理的な距離によるレイテンシは発生する

Slide 24

Slide 24 text

24 DNS 評価  自社のDNSサーバーで管理する必要がある要件がある場合にはこちらの方法になる。  Route53でドメイン管理が行える要件の場合には基本的にはこちらのほうが良さそう。  DNSサーバが不要であったりレコード設定が容易などのメリットが大きい。 

Slide 25

Slide 25 text

25 部門インバウンド通信  01  02  04  03  アウトバウンド通信  DNS  エンドポイント 

Slide 26

Slide 26 text

26 VPCエンドポイント VPCエンドポイント集約構成 

Slide 27

Slide 27 text

27 VPCエンドポイント VPCエンドポイント集約構成  メリットデメリット案外高いVPCエンドポイントのコストを下げることができる。 Transit Gatewayではなくても集約VPCまでIP到達可能な状態であれば良い。 VPCエンドポイントポリシーで細かく制御を行っているような場合に上限にひっかかる可能性がある（とはいえ20,480文字）

Slide 28

Slide 28 text

28 VPCエンドポイント評価  強制的にVPC内サービスとAWSサービスとの間をプライベートに保てるのでおすすめ。  アカウント数が多ければ多いほどコスト削減の割合が増えていく。 

Slide 29

Slide 29 text

29 そもそもなぜネットワーク集約するのか 

Slide 30

Slide 30 text

30 なぜネットワーク集約するのかアカウント数が多ければ多いほど、様々な管理コストがかかってきます。  より管理者・担当者双方が楽になるためにも集約して少しでも運用負荷を減らす。  セキュリティガバナンス  コスト削減  運用負荷の軽減 