VPC Block Public AccessとCloudFrontVPCオリジンによって何が変わるのか？

by da-hatakeyama

Slide 1

Slide 1 text

[NRIネットコム & Iret 共同]re:Invent recap CI事業部畠山大治 VPC Block Public Accessと CloudFront VPC Originsによって何が変わるのか？

Slide 2

Slide 2 text

目次 2 l はじめに l VPC Block Public Access、CloudFront VPC Originsとは l 実際に触ってみる l VPC Block Public Accessの設定内容による挙動の確認 l CloudFront VPC Originsの導入方法 l VPC Block Public AccessとCloudFront VPC Originsを組み合わせる l 今後意識すべき観点 l まとめ

Slide 3

Slide 3 text

3 はじめに

Slide 4

Slide 4 text

自己紹介 4 名前：畠山大治所属：クラウドインテグレーション事業部プロジェクトマネジメントセクション業務：クラウド案件のプリセールスや要件定義好きなもの： Perfume、読書、映画・アニメギター（練習中）認定・資格：

Slide 5

Slide 5 text

今日話すこと・話さないこと 5 l 話すこと Ø VPC Block Public Access、CloudFront VPC Originsの概要 Ø 実際に導入してみた場合の挙動を確認した結果 Ø 導入する時に考えるべきこと、気を付けるべきこと（主観） l 話さないこと Ø VPC、CloudFrontなど基本的なAWSサービスについての説明 Ø ネットワークに関する基礎知識の補足説明 Ø Webサイトのフロントエンド、バックエンド実装に関わる領域

Slide 6

Slide 6 text

6 VPC Block Public Access、CloudFront VPC Originsとは

Slide 7

Slide 7 text

VPC Block Public Access（BPA）とは 7 l VPCとインターネットの間の通信をブロックできる機能 Ø ブロックする方向は2種類の設定から選択可能 • 双方向：インバウンドとアウトバウンド両方ブロック • Ingress-only ：インターネットからVPCへのインバウンドのみブロック l BPA設定を適用しない除外設定をサブネット単位で設定可能 Ø 除外するトラフィックの方向も2種類から選択可能 • 双方向：インバウンドとアウトバウンド両方を許可 • Egress-Only ：サブネットからインターネットへの通信を許可 l セキュリティグループやNACLよりも強力な設定 l リージョン単位で設定が反映される

Slide 8

Slide 8 text

CloudFront VPC Originsとは 8 l プライベートサブネットにあるリソースを、CloudFrontディストリビューションのオリジンに設定できる機能 l 対応しているリソースはALB、NLB、EC2インスタンス l ALB、NLBをパブリックサブネットに配置する必要がないため、よりセキュアな構成にすることができる Ø パブリックIPを削減することができるためコスト削減も見込める

Slide 9

Slide 9 text

9 実際に触ってみる

Slide 10

Slide 10 text

10 VPC Block Public Accessの設定内容による挙動の確認

Slide 11

Slide 11 text

VPC Block Public Accessの設定内容による挙動の確認 11 従来通りのアーキテクチャで検証環境を用意 l IPv4とIPv6のデュアルスタック構成でVPCとサブネットを作成 l ALBもデュアルスタックで作成 l インターネットとの通信パターンを3種類用意し、 BPA設定によるそれぞれの挙動を確認 Ø EC2からのインターネットEgress（IPv4） Ø EC2からのインターネットEgress（IPv6） Ø インターネットからALBへのIngress（IPv4、IPv6） l Egress通信の確認にはGoogleのDNSを使用 Ø IPv4：8.8.8.8 Ø IPv6：2001:4860:4860::8888 l 簡略化のためHTTPS化は未実施

Slide 12

Slide 12 text

VPC Block Public Accessの設定内容による挙動の確認 12 まずは「双方向ブロック、除外設定なし」の設定を入れてみる（設定を入れた後に1分ほど待機すると有効化される）

Slide 13

Slide 13 text

VPC Block Public Accessの設定内容による挙動の確認 13 「VPCとインターネットとの通信をすべてブロックする」という設定を入れているので、全通信がブロックされる通信経路結果 EC2からのインターネットEgress（IPv4）拒否 EC2からのインターネットEgress（IPv6）拒否インターネットからALBへのIngress（IPv4、IPv6）拒否

Slide 14

Slide 14 text

VPC Block Public Accessの設定内容による挙動の確認 14 先ほどの設定に「パブリックサブネットでの双方向通信を除外」という設定を追加してみる（設定を入れてから有効化されるまで5分ほど時間がかかる）

Slide 15

Slide 15 text

VPC Block Public Accessの設定内容による挙動の確認 15 IPv6でのEgress通信のみ拒否される結果に通信経路結果 EC2からのインターネットEgress（IPv4）許可 EC2からのインターネットEgress（IPv6）拒否インターネットからALBへのIngress（IPv4、IPv6）許可 sh-5.2$ ping -c 10 2001:4860:4860::8888 PING 2001:4860:4860::8888(2001:4860:4860::8888) 56 data bytes --- 2001:4860:4860::8888 ping statistics --- 10 packets transmitted, 0 received, 100% packet loss, time 9373ms sh-5.2$

Slide 16

Slide 16 text

VPC Block Public Accessの設定内容による挙動の確認 16 l IPv6でのEgressが一度許可（ACCEPT）された後に拒否（REJECT）されている l VPCフローログのreject-reasonフィールドに「BPA」との記載ありセキュリティグループやNACLで許可された後に、BPAで拒否されるという挙動になっている

Slide 17

Slide 17 text

VPC Block Public Accessの設定内容による挙動の確認 17 「プライベートサブネットでのEgress通信を除外」という設定をさらに追加してみる

Slide 18

Slide 18 text

VPC Block Public Accessの設定内容による挙動の確認 18 必要なインターネットトラフィックがすべて許可される通信経路結果 EC2からのインターネットEgress（IPv4）許可 EC2からのインターネットEgress（IPv6）許可インターネットからALBへのIngress（IPv4、IPv6）許可 ※ BPA設定のブロック方向を「Ingress-Only」にした場合は、 IPv6のEgress通信は制限されない（プライベートサブネットの除外設定が不要になる）

Slide 19

Slide 19 text

VPC Block Public Accessの設定内容による挙動の確認 19 今回の構成でBPAを導入するのであれば以下のような設定になる l パターン１ Ø 双方向ブロック Ø パブリックサブネットでの双方向除外 Ø プライベートサブネットでのEgress-Only除外 l パターン２ Ø Ingress-Onlyブロック Ø パブリックサブネットでの双方向除外

Slide 20

Slide 20 text

20 CloudFront VPC Originsの導入方法

Slide 21

Slide 21 text

CloudFront VPC Originsの導入方法 21 先ほどの構成でBPAの設定を無効にした上で、構成にCloudFrontを追加する

Slide 22

Slide 22 text

CloudFront VPC Originsの導入方法 22 まずはVPC Originsに設定する内部ALBを新規作成

Slide 23

Slide 23 text

CloudFront VPC Originsの導入方法 23 CloudFrontの画面左メニューから[VPC Origins]をクリックし、そこからVPC Originsを作成する

Slide 24

Slide 24 text

CloudFront VPC Originsの導入方法 24 VPC Originsの作成が完了すると、裏では「cloudfront_managed」というタイプのENIが2つ追加される

Slide 25

Slide 25 text

CloudFront VPC Originsの導入方法 25 CloudFrontのオリジンにVPCオリジンを追加し、ビヘイビアのオリジン設定を修正すれば設定完了！

Slide 26

Slide 26 text

CloudFront VPC Originsの導入方法 26 インターネットに露出するリソースを極限まで減らした構成が完成

Slide 27

Slide 27 text

27 VPC Block Public AccessとCloudFront VPC Originsを組み合わせる

Slide 28

Slide 28 text

VPC Block Public AccessとCloudFront VPC Originsを組み合わせる 28 先ほど最後に使った設定「BPAで双方向ブロック、パブリックサブネットで双方向除外、プライベートサブネットでEgress-Only除外」を再度有効化してみると…

Slide 29

Slide 29 text

VPC Block Public AccessとCloudFront VPC Originsを組み合わせる 29 インターネットからWebサーバーに到達不可能にインターネットからCloudFront VPC Origins向けの通信はインバウンドと判定されている通信経路結果 EC2からのインターネットEgress（IPv4）許可 EC2からのインターネットEgress（IPv6）許可インターネットからALBへのIngress（IPv4、IPv6）拒否プライベートサブネットでの設定を双方向除外に変更する必要がある

Slide 30

Slide 30 text

VPC Block Public AccessとCloudFront VPC Originsを組み合わせる 30 今回の構成でBPAを導入するのであれば以下のような設定になる l パターン１ Ø 双方向ブロック Ø パブリックサブネットでのEgress-Only除外 Ø プライベートサブネットでの双方向除外 l パターン２ Ø Ingress-Onlyブロック Ø プライベートサブネットでの双方向除外

Slide 31

Slide 31 text

31 今後意識すべき観点

Slide 32

Slide 32 text

今後意識すべき観点 32 l BPAのブロック方向の設定によって除外設定の内容も変わることを考慮して設計を行う必要がある l 既存リソースがある環境で導入する場合は… Ø あらかじめ除外設定を入れておいた上で、BPA設定のブロック方向を「Ingress-Only」に設定、そこから除外設定を追加していくという手順が比較的シンプルと思われる Ø とはいえアーキテクチャによって設計を柔軟に変えておく必要がある l インターネット接続を問答無用で遮断する機能なので設定は慎重に！ Ø 設定はかなりシンプルだが影響は非常に大きい BPA設定のブロック方向と除外設定の組み合わせ

Slide 33

Slide 33 text

今後意識すべき観点 33 l セキュリティグループ、NACLよりも強力な機能なので権限管理をしておくと安心 Ø 権限設定の例 • 「VpcBlockPublicAccessExclusion」が含まれれるEC2のAPIアクションのみを制限するIAM ポリシー • 2025年1月現在、対象のAPIアクションは6つ存在している権限管理 { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmtxxxxxxxxxxxxx", "Action": [ "ec2:CreateVpcBlockPublicAccessExclusion", "ec2:DeleteVpcBlockPublicAccessExclusion", "ec2:DescribeVpcBlockPublicAccessExclusions", "ec2:DescribeVpcBlockPublicAccessOptions", "ec2:ModifyVpcBlockPublicAccessExclusion", "ec2:ModifyVpcBlockPublicAccessOptions" ], "Effect": "Deny", "Resource": "*" }, { "Sid": "Stmtxxxxxxxxxxxxx", "Action": "*", "Effect": "Allow", "Resource": "*" } ] }

Slide 34

Slide 34 text

参考：Terraformの利用 34 Terraformがすでに対応しているのでIaC管理に組み込むことも可能です Ø Resource: aws_vpc_block_public_access_exclusion • https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/vpc_block_public_access_exclusion Ø Resource: aws_vpc_block_public_access_options • https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/vpc_block_public_access_options

Slide 35

Slide 35 text

35 まとめ

Slide 36

Slide 36 text

まとめ 36 l BPAを使用するとVPCとインターネットの間のトラフィックを制御できる Ø セキュリティやガバナンスを強化する効果がある l CloudFront VPC Originsを使用するとパブリックサブネットに配置するリソースを極限まで減らすことができる Ø パブリックIPによるセキュリティ強化とコスト削減の効果がある l BPAとCloudFront VPC Originsを組み合わせることで、よりセキュアな環境を作ることができる l 一方で、設計時には既存の構成とは少し異なる観点が必要になる

Slide 37

Slide 37 text

参考資料 37 l Amazon VPC Block Public Access による VPC セキュリティの強化 Ø https://aws.amazon.com/jp/blogs/news/vpc-block-public-access/ l VPC とサブネットへのパブリックアクセスをブロックする Ø https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/security-vpc-bpa.html l [アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！ Ø https://iret.media/128465 l Amazon CloudFront VPC オリジンの紹介: アプリケーションのセキュリティ強化と運用の合理化 Ø https://aws.amazon.com/jp/blogs/news/introducing-amazon-cloudfront-vpc-origins-enhanced-security-and-streamlined- operations-for-your-applications/ l Restrict access with VPC origins Ø https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/private-content-vpc-origins.html