AWS Network Firewall && DNS Firewallで解決できること [Security-JAWS DAYS] ~Day1~ 2023.08.26 1

⾃⼰紹介 積⽥ 優⽣ (Tsumita Yuki) Twitter（X）: @tsumita7 • 2023 Japan AWS Ambassador • 2023 Japan AWS Top Engineer • 2023 Japan AWS All Certifications Engineer 好きなAWSサービス AWS Support Amazon EventBridge AWS Fargate 2

はじめに • 本⽇の発表は個⼈的なものであり、所属組織を代表するものではありません。 • 2023/08/25時点の最新情報をもとに記載してあります。 3

本⽇お話ししないこと • VPC, Subnet, SG, NACLなど、基本的な⽤語 • Network FirewallのSuricata互換ルール詳細 • 各ルール/ポリシーの細かな記述⽅法 • デプロイメントモデル • Appendixに参考資料あり 4

アジェンダ • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 5

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 6

AWS Network Firewallとは︖ 出典︓https://aws.amazon.com/jp/network-firewall/ ざっくり⾔うと、Suricata互換のAWSマネージドなシグネチャ型IPS/IDS 7

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 8

AWS Network Firewallできること • IP拒否/許可リスト • Statelessルール（IP, Port, Protocol） • Statefulルール（IP, Port, Protocol） • FQDNフィルタリング on HTTP/HTTPS • Ingress TLS Inspection • Managed Rules • Suricata互換のIPS/IDSルール パケットフィルタリング • AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • Amazon CloudWatch rule metrics • イベント, ルールベースのメトリクス • Flow, Alertログ • S3, CloudWatch Logs, Kinesis Data Firehose, 3rd partyへのログ出⼒ 可視性 • Domain list rule groups • Threat signature rule groups マネージドルールグループ 9 ⭐＝少し詳しくお話しする部分 ⭐ ⭐ ⭐

Statefulデフォルトアクションの動作 Alert all TCP 3wayハンドシェイクを含むAlertログが出⼒される（TLS通信時） 10

Statefulデフォルトアクションの動作 Alert all TCP TLS 11

Statefulデフォルトアクションの動作 Alert established TCP 3wayハンドシェイクを含まないAlertログが出⼒される（TLS通信時） 12

Statefulデフォルトアクションの動作 Alert established TLS 13

SNIで通信先を確認する（設定） Strict rule orderのStatefulルールをAlert à Passの順番でルールを作成 14

SNIで通信先を確認する AlertログをCloudWatch Logsに出⼒した場合、以下のクエリで通信先を確認可能。S3へ出⼒した場合、 Athenaを利⽤することで同様に確認可能 15 SNIの情報をセキュリティ監視やコスト精査などに活⽤可能

TCP, TLSハンドシェイク 出典︓https://www.cloudflare.com/ja-jp/learning/ssl/what-happens-in-a-tls-handshake/ SNI（Server Name Indication）はClientHelloの中に含まれるが、基本的に暗号化されない(※) ※ ESNI（Encrypted SNI）を除く https://www.cloudflare.com/ja-jp/learning/ssl/what-happens-in-a-tls-handshake/ 16

ClientHello内のSNIが暗号化されていない様⼦ 17

AWS Network Firewall マネージドルール Threat signature rule groupsはSuricata互換ルールが開⽰されている 18

AWS Network Firewall マネージドルール マネージドルールをコピーして独⾃のルールを作成可能 19

AWS Network Firewall マネージドルール SNS topicを購読することで、Threat signature rule groupsの更新時に通知を受け取ることが可能 à SNS topicはrule groups共通なので、リージョンで1つ購読しておけばOK 20

AWS Network Firewall マネージドルール Threat signature rule groupsはほぼ毎⽇何かしらのルールが更新されている 21

AWS Network Firewallできないこと できないこと l 暗号化された完全なアウトバウンド検査 l Suricataの⼀部機能 l 完全なドメインベースでのフィルタリング l TLSインスペクション（⼀部） 22 対策 ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü Suricataをセルフホスト ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü 3rd Partyの製品導⼊︖ ※ 記載の対策は⼀例

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 23

Amazon Route 53 Resolver DNS Firewallとは︖ ざっくり⾔うと、Route 53 ResolverのFirewall 24

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 25

DNS Firewallできること • ドメインベースフィルタリング • 許可リスト・拒否リスト • 拒否時のカスタムアクション DNSフィルタリング • AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • ルールごとのCloudWatchメトリクス • S3, CloudWatch Kinesisへのログ送信 可視性 • AWS managed ドメインリスト マネージドリスト 26

DNS Firewallできないこと できないこと l hostsに書かれた宛先の名前解決検査 l IP直接通信の検査 l Route 53 Resolver以外のDNSを指 定した名前解決検査 27 対策 ü hostsファイルの改ざん検知 ü セキュリティグループ, NACLなどでアウトバウンド通信をブロック ü セキュリティグループ, NACLでアウトバウンドのDNSクエリ通信をブロック ※ 記載の対策は⼀例

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 28

Tips ü ⾼いぞ︕Network Firewall ü 割引あるぞ︕Network Firewall ü AWS セキュリティ系サービス まとめ ü セキュリティは1か所で対策すれば盤⽯なのか︖ ü Network Firewall Top 10 best practices 29

⾼いぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ Endpointごとの時間課⾦︓ ü $0.395/時間 トラフィック処理量課⾦︓ ü $0.065/GB 通常 TLSインスペクション Endpointごとの時間課⾦︓ ü $1.095/時間 トラフィック処理量課⾦︓ ü $0.005/GB ＋ $1048.2/⽉(※) ※ 3azにEndpoint作成＆100GB/⽇のトラフィック処理時(東京/⼤阪リージョン) $2380.2/⽉(※) 30 $3428.4/⽉(※)

⾼いぞ︕AWS Network Firewall 31

割引あるぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ 32 Network Firewallの時間課⾦/トラフィック処理量課⾦とNAT GWの利⽤料が相殺 ※1 Advanced Inspectionは対象外（TLS inspection） ※2 相殺されたNAT GWの利⽤料はOrganizationsのアカウント内において、 独⾃アルゴリズムで割引が割り振られるので、別AWSアカウントに割引適⽤される可能性あり

AWS セキュリティ系サービス まとめ 保護適⽤範囲 主要機能 振る舞い AWS Network Firewall Amazon Route 53 Resolver DNS Firewall VPC Security Group VPC Network ACL AWS WAF OSIレイヤー Stateful/less 保護通信 VPCに紐づくルートレベル • Statelessルール • Statefulルール • IPS/IDSルール • FQDNフィルタリング • Portフィルタリング • Protocolフィルタリング • IPフィルタリング • Deep Packet Inspection • Managed Rules Allow L3 ~ L7 Stateful/less VPC内の全てのインバウンド/ アウトバウンド通信 （ルートテーブル設定必要） VPCに紐づくResolver経由 でのDNSクエリ • ドメインネームベースフィル タリング(Allowリスト, Denyリスト) • カスタムDenyアクション （NXDOMAIN, OVERRIDE, NODATA） • Managed Rules Allow / Deny L7 Stateless アウトバウンドDNSクエリ EC2などに紐づくENIレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow L3~L4 Stateful ENIからの全てのインバウンド /アウトバウンド通信 サブネットレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow / Deny L3~L4 Stateless サブネットからの全てのインバ ウンド/アウトバウンド通信 エンドポイントレベル (Cloud Front, ALB など) • L7レベルフィルタリング • Managed Rules Allow / Deny L7 Stateless エンドポイントへのインバウンド 通信 33

セキュリティは1か所で対策すれば盤⽯なのか︖ 出典︓https://www.youtube.com/watch?v=9zDk-EaMUpc&ab_channel=AWSEvents 34

セキュリティは1か所で対策すれば盤⽯なのか︖ 出典︓https://d1.awsstatic.com/events/Summits/awsreinforce2023/NIS374_Stopping-zero-day-attacks-and-ransomware-with-effective-egress-controls.pdf 35 Network FirewallとDNS Firewallは異なるタイプの通信を保護する ︓DNS Firewallで保護 ︓Network Firewallで保護

Network Firewall Top 10 best practices 出典︓https://www.youtube.com/watch?v=67pVOv3lPlk 36 「AWS re:Inforce 2023 - Policy and Suricata compatible rule creation for AWS Network Firewall (NIS308)」にすべてが記載されている︕︕

まとめ Conclusion. 37

まとめ • Network FirewallはSuricata互換のIPS/IDS • Amazon Route 53 Resolver DNS FirewallはRoute 53 ResolverのFirewall • マネージドサービス/ルールを活⽤することでクイックにセキュリティ対策可能 • セキュリティ対策は複数のレイヤーで⾏うことが⼤切 38

ご清聴ありがとうございました Thank you for your attention and time. 39

Appendix 40

Network Firewall パケット処理フロー 41 出典︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-rules-engines.html • dropかつTCP通信において、コネクションタイムアウトするまで接続が 切れない • StatefulかつTCP通信において、rejectも選択可能 すぐにRSTが返却されるため、コネクションタイムアウトを待たずに接続 が切れる Stateless詳細︓https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-action.html Stateful詳細︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-rule-evaluation-order.html

出典︓https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/inspection-deployment-models-with-AWS-network-firewall-ra.pdf AWS Network Firewall デプロイメントモデル 42 AWS Network Firewallデプロイ時は出典のデプロイメントモデルが⾮常に参考になる。

AWS Network Firewall デプロイメントモデル 43 ルートテーブルの設計が⾮常に重要

AWS Network Firewall Ingress TLS inspection • TLSで暗号化されたVPCへのインバウンドトラフィック検査 • ACM, AWS KMSと統合 • ポート, IP/subnet単位で復号するトラフィック選択 • TLS 1.1 ~ 1.3対応 • HTTP2, Websocket, QUIC未対応 44 出典︓https://d1.awsstatic.com/events/Summits/awsreinforce2023/NIS373_AWS-Network-Firewall-and-DNS-Firewall-security-in-multi-VPC-environments.pdf

DNS Firewall デプロイメントモデル 45 出典︓https://d1.awsstatic.com/events/aws-reinforce-2022/NIS201_An-overview-of-AWS-firewall-services-and-where-to-use-them.pdf