Slide 1

Slide 1 text

AWS Network Firewall && DNS Firewallで解決できること [Security-JAWS DAYS] ~Day1~ 2023.08.26 1

Slide 2

Slide 2 text

⾃⼰紹介 積⽥ 優⽣ (Tsumita Yuki) Twitter(X): @tsumita7 • 2023 Japan AWS Ambassador • 2023 Japan AWS Top Engineer • 2023 Japan AWS All Certifications Engineer 好きなAWSサービス AWS Support Amazon EventBridge AWS Fargate 2

Slide 3

Slide 3 text

はじめに • 本⽇の発表は個⼈的なものであり、所属組織を代表するものではありません。 • 2023/08/25時点の最新情報をもとに記載してあります。 3

Slide 4

Slide 4 text

本⽇お話ししないこと • VPC, Subnet, SG, NACLなど、基本的な⽤語 • Network FirewallのSuricata互換ルール詳細 • 各ルール/ポリシーの細かな記述⽅法 • デプロイメントモデル • Appendixに参考資料あり 4

Slide 5

Slide 5 text

アジェンダ • AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 5

Slide 6

Slide 6 text

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 6

Slide 7

Slide 7 text

AWS Network Firewallとは︖ 出典︓https://aws.amazon.com/jp/network-firewall/ ざっくり⾔うと、Suricata互換のAWSマネージドなシグネチャ型IPS/IDS 7

Slide 8

Slide 8 text

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 8

Slide 9

Slide 9 text

AWS Network Firewallできること • IP拒否/許可リスト • Statelessルール(IP, Port, Protocol) • Statefulルール(IP, Port, Protocol) • FQDNフィルタリング on HTTP/HTTPS • Ingress TLS Inspection • Managed Rules • Suricata互換のIPS/IDSルール パケットフィルタリング • AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • Amazon CloudWatch rule metrics • イベント, ルールベースのメトリクス • Flow, Alertログ • S3, CloudWatch Logs, Kinesis Data Firehose, 3rd partyへのログ出⼒ 可視性 • Domain list rule groups • Threat signature rule groups マネージドルールグループ 9 ⭐=少し詳しくお話しする部分 ⭐ ⭐ ⭐

Slide 10

Slide 10 text

Statefulデフォルトアクションの動作 Alert all TCP 3wayハンドシェイクを含むAlertログが出⼒される(TLS通信時) 10

Slide 11

Slide 11 text

Statefulデフォルトアクションの動作 Alert all TCP TLS 11

Slide 12

Slide 12 text

Statefulデフォルトアクションの動作 Alert established TCP 3wayハンドシェイクを含まないAlertログが出⼒される(TLS通信時) 12

Slide 13

Slide 13 text

Statefulデフォルトアクションの動作 Alert established TLS 13

Slide 14

Slide 14 text

SNIで通信先を確認する(設定) Strict rule orderのStatefulルールをAlert à Passの順番でルールを作成 14

Slide 15

Slide 15 text

SNIで通信先を確認する AlertログをCloudWatch Logsに出⼒した場合、以下のクエリで通信先を確認可能。S3へ出⼒した場合、 Athenaを利⽤することで同様に確認可能 15 SNIの情報をセキュリティ監視やコスト精査などに活⽤可能

Slide 16

Slide 16 text

TCP, TLSハンドシェイク 出典︓https://www.cloudflare.com/ja-jp/learning/ssl/what-happens-in-a-tls-handshake/ SNI(Server Name Indication)はClientHelloの中に含まれるが、基本的に暗号化されない(※) ※ ESNI(Encrypted SNI)を除く https://www.cloudflare.com/ja-jp/learning/ssl/what-happens-in-a-tls-handshake/ 16

Slide 17

Slide 17 text

ClientHello内のSNIが暗号化されていない様⼦ 17

Slide 18

Slide 18 text

AWS Network Firewall マネージドルール Threat signature rule groupsはSuricata互換ルールが開⽰されている 18

Slide 19

Slide 19 text

AWS Network Firewall マネージドルール マネージドルールをコピーして独⾃のルールを作成可能 19

Slide 20

Slide 20 text

AWS Network Firewall マネージドルール SNS topicを購読することで、Threat signature rule groupsの更新時に通知を受け取ることが可能 à SNS topicはrule groups共通なので、リージョンで1つ購読しておけばOK 20

Slide 21

Slide 21 text

AWS Network Firewall マネージドルール Threat signature rule groupsはほぼ毎⽇何かしらのルールが更新されている 21

Slide 22

Slide 22 text

AWS Network Firewallできないこと できないこと l 暗号化された完全なアウトバウンド検査 l Suricataの⼀部機能 l 完全なドメインベースでのフィルタリング l TLSインスペクション(⼀部) 22 対策 ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü Suricataをセルフホスト ü SquidなどのProxyサーバ利⽤ ü 3rd Partyの製品導⼊ ü 3rd Partyの製品導⼊︖ ※ 記載の対策は⼀例

Slide 23

Slide 23 text

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 23

Slide 24

Slide 24 text

Amazon Route 53 Resolver DNS Firewallとは︖ ざっくり⾔うと、Route 53 ResolverのFirewall 24

Slide 25

Slide 25 text

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 25

Slide 26

Slide 26 text

DNS Firewallできること • ドメインベースフィルタリング • 許可リスト・拒否リスト • 拒否時のカスタムアクション DNSフィルタリング • AWS Firewall Managerを利⽤したクロスアカウント管理 • CloudFormation/Terraformなどを利⽤したIaC • AWS Resource Access Manager(RAM)を利⽤したリソース共有 中央管理 • ルールごとのCloudWatchメトリクス • S3, CloudWatch Kinesisへのログ送信 可視性 • AWS managed ドメインリスト マネージドリスト 26

Slide 27

Slide 27 text

DNS Firewallできないこと できないこと l hostsに書かれた宛先の名前解決検査 l IP直接通信の検査 l Route 53 Resolver以外のDNSを指 定した名前解決検査 27 対策 ü hostsファイルの改ざん検知 ü セキュリティグループ, NACLなどでアウトバウンド通信をブロック ü セキュリティグループ, NACLでアウトバウンドのDNSクエリ通信をブロック ※ 記載の対策は⼀例

Slide 28

Slide 28 text

• AWS Network Firewallとは︖ • AWS Network Firewall できること・できないこと • Amazon Route 53 Resolver DNS Firewallとは︖ • DNS Firewall できること・できないこと • Tips 28

Slide 29

Slide 29 text

Tips ü ⾼いぞ︕Network Firewall ü 割引あるぞ︕Network Firewall ü AWS セキュリティ系サービス まとめ ü セキュリティは1か所で対策すれば盤⽯なのか︖ ü Network Firewall Top 10 best practices 29

Slide 30

Slide 30 text

⾼いぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ Endpointごとの時間課⾦︓ ü $0.395/時間 トラフィック処理量課⾦︓ ü $0.065/GB 通常 TLSインスペクション Endpointごとの時間課⾦︓ ü $1.095/時間 トラフィック処理量課⾦︓ ü $0.005/GB + $1048.2/⽉(※) ※ 3azにEndpoint作成&100GB/⽇のトラフィック処理時(東京/⼤阪リージョン) $2380.2/⽉(※) 30 $3428.4/⽉(※)

Slide 31

Slide 31 text

⾼いぞ︕AWS Network Firewall 31

Slide 32

Slide 32 text

割引あるぞ︕AWS Network Firewall https://aws.amazon.com/jp/network-firewall/pricing/ 32 Network Firewallの時間課⾦/トラフィック処理量課⾦とNAT GWの利⽤料が相殺 ※1 Advanced Inspectionは対象外(TLS inspection) ※2 相殺されたNAT GWの利⽤料はOrganizationsのアカウント内において、 独⾃アルゴリズムで割引が割り振られるので、別AWSアカウントに割引適⽤される可能性あり

Slide 33

Slide 33 text

AWS セキュリティ系サービス まとめ 保護適⽤範囲 主要機能 振る舞い AWS Network Firewall Amazon Route 53 Resolver DNS Firewall VPC Security Group VPC Network ACL AWS WAF OSIレイヤー Stateful/less 保護通信 VPCに紐づくルートレベル • Statelessルール • Statefulルール • IPS/IDSルール • FQDNフィルタリング • Portフィルタリング • Protocolフィルタリング • IPフィルタリング • Deep Packet Inspection • Managed Rules Allow L3 ~ L7 Stateful/less VPC内の全てのインバウンド/ アウトバウンド通信 (ルートテーブル設定必要) VPCに紐づくResolver経由 でのDNSクエリ • ドメインネームベースフィル タリング(Allowリスト, Denyリスト) • カスタムDenyアクション (NXDOMAIN, OVERRIDE, NODATA) • Managed Rules Allow / Deny L7 Stateless アウトバウンドDNSクエリ EC2などに紐づくENIレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow L3~L4 Stateful ENIからの全てのインバウンド /アウトバウンド通信 サブネットレベル • Portフィルタリング • Protocolフィルタリング • IPフィルタリング Allow / Deny L3~L4 Stateless サブネットからの全てのインバ ウンド/アウトバウンド通信 エンドポイントレベル (Cloud Front, ALB など) • L7レベルフィルタリング • Managed Rules Allow / Deny L7 Stateless エンドポイントへのインバウンド 通信 33

Slide 34

Slide 34 text

セキュリティは1か所で対策すれば盤⽯なのか︖ 出典︓https://www.youtube.com/watch?v=9zDk-EaMUpc&ab_channel=AWSEvents 34

Slide 35

Slide 35 text

セキュリティは1か所で対策すれば盤⽯なのか︖ 出典︓https://d1.awsstatic.com/events/Summits/awsreinforce2023/NIS374_Stopping-zero-day-attacks-and-ransomware-with-effective-egress-controls.pdf 35 Network FirewallとDNS Firewallは異なるタイプの通信を保護する ︓DNS Firewallで保護 ︓Network Firewallで保護

Slide 36

Slide 36 text

Network Firewall Top 10 best practices 出典︓https://www.youtube.com/watch?v=67pVOv3lPlk 36 「AWS re:Inforce 2023 - Policy and Suricata compatible rule creation for AWS Network Firewall (NIS308)」にすべてが記載されている︕︕

Slide 37

Slide 37 text

まとめ Conclusion. 37

Slide 38

Slide 38 text

まとめ • Network FirewallはSuricata互換のIPS/IDS • Amazon Route 53 Resolver DNS FirewallはRoute 53 ResolverのFirewall • マネージドサービス/ルールを活⽤することでクイックにセキュリティ対策可能 • セキュリティ対策は複数のレイヤーで⾏うことが⼤切 38

Slide 39

Slide 39 text

ご清聴ありがとうございました Thank you for your attention and time. 39

Slide 40

Slide 40 text

Appendix 40

Slide 41

Slide 41 text

Network Firewall パケット処理フロー 41 出典︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-rules-engines.html • dropかつTCP通信において、コネクションタイムアウトするまで接続が 切れない • StatefulかつTCP通信において、rejectも選択可能 すぐにRSTが返却されるため、コネクションタイムアウトを待たずに接続 が切れる Stateless詳細︓https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-action.html Stateful詳細︓ https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-rule-evaluation-order.html

Slide 42

Slide 42 text

出典︓https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/inspection-deployment-models-with-AWS-network-firewall-ra.pdf AWS Network Firewall デプロイメントモデル 42 AWS Network Firewallデプロイ時は出典のデプロイメントモデルが⾮常に参考になる。

Slide 43

Slide 43 text

AWS Network Firewall デプロイメントモデル 43 ルートテーブルの設計が⾮常に重要

Slide 44

Slide 44 text

AWS Network Firewall Ingress TLS inspection • TLSで暗号化されたVPCへのインバウンドトラフィック検査 • ACM, AWS KMSと統合 • ポート, IP/subnet単位で復号するトラフィック選択 • TLS 1.1 ~ 1.3対応 • HTTP2, Websocket, QUIC未対応 44 出典︓https://d1.awsstatic.com/events/Summits/awsreinforce2023/NIS373_AWS-Network-Firewall-and-DNS-Firewall-security-in-multi-VPC-environments.pdf

Slide 45

Slide 45 text

DNS Firewall デプロイメントモデル 45 出典︓https://d1.awsstatic.com/events/aws-reinforce-2022/NIS201_An-overview-of-AWS-firewall-services-and-where-to-use-them.pdf