第122回 雲勉【オンライン】 AWS Network Firewall を学んでみる

アジェンダ 2 0.⾃⼰紹介 1.はじめに 2.Firewallとは 3.AWSでのNWセキュリティ対策 4.AWS Network Firewall 5.まとめ

０．講師⾃⼰紹介 3 n ⽥中 弘紀(たなか ひろのり) • クラウドインテグレーション事業部 構築第⼋セクション 第⼆グループ • 経歴 ⼩売店(接客販売) 1年半 オンプレミスインフラエンジニア(運⽤保守) 6年 • アイレット歴 4年⽬ (構築、運⽤保守) • 沖縄とロナウジーニョが好き

1. はじめに 4

1. はじめに 5 n 今回の雲勉は AWS Network Firewallを学びたい︕ という⽅を対象とさせていただいております

1. はじめに 6 n 本⽇のゴール AWS Network Firewallで出来る事を知る

2. Firewallとは 7

2. Firewallとは 8 n Firewallの役割 • Firewallは不正なアクセスや不要な通信をブロックするためのネットワークセキュリティ対 策に利⽤されるもの。

3. AWSでのNWセキュリティ対策 9

3. AWSでのNWセキュリティ対策 10 n AWSでNWセキュリティ対策として利⽤可能な代表的なマネージドサービス ・Network ACL ・Security Group ・AWS WAF ・AWS Network Firewall ・AWS Gateway Load Balancer + セキュリティ仮想アプライアンス ・AWS Shield(Standard ,Advanced) AWS Network Firewall AWS Gateway Load Balancer AWS WAF AWS Shield

3. AWSでのNWセキュリティ対策 11 n Security Group • IPアドレスとポートで制御を⾏う • ステートフル • 無料で利⽤出来るスタンダードなセキュリティ対策 • EC2やELBなどが保護リソースとなる n Network ACL • IPアドレスとポートで制御を⾏う • ステートレス • 無料で利⽤出来るスタンダードなセキュリティ対策 • VPC サブネットが保護リソースとなる

3. AWSでのNWセキュリティ対策 12 n AWS WAF • CloudFront、ALB、API Gatewayが保護リソースとなる • L4(IPベース)だけでなく、L7(SQLインジェクションなど)に対しての対策が可能 • 適⽤するルールの数などによって料⾦が変動する重量課⾦ n AWS Gateway Load Balancer + セキュリティ仮想アプライアンス • デプロイするセキュリティ仮想アプライアンスの冗⻑化が可能 • 負荷状況によりアプライアンスのスケーリングが可能 • 制御内容は仮想アプライアンスに準ずる • VPC内を流れるパケットの制御や検閲を⾏う

3. AWSでのNWセキュリティ対策 13 n AWS Shield (Standard ,Advanced) • DDoS攻撃を⾃動緩和 • L7に対する攻撃も防御対象(Advancedのみ) • CloudFrontやELB、Route53などのリソースが保護対象となる n AWS Network Firewall • VPC単位でパケットの制御が可能 • IPアドレスとポート制限だけでなく、URLのフィルタリングも可能 • Suricata互換のIPSルールが定義可能

3. AWSでのNWセキュリティ対策 14 n どのサービスを利⽤すれば良いか ・防御したい領域により選択するサービスが異なる ・１つのサービスだけでは強固なセキュリティを確保するのは難しいのでサービスを組み合わ せて多層防御を ・予算や知⾒、運⽤負荷等を考慮してサービスを選定

3. AWSでのNWセキュリティ対策 15 n ⽐較⼀覧 Security Group Network ACL AWS WAF AWS Network Firewall AWS Shield Advanced AWS Gateway Load Balancer 役割 送信元アドレスと ポートによる アクセス制限 送信元アドレスと ポートによる アクセス制限 アプリケーションの 保護 DDoS対策 トラフィックの検査 と フィルタリング DDoSからの保護 セキュリティアプラ イアンスの 冗⻑化 レイヤー L3 -L4 L3 -L4 L7 L3- L7 L3 -L7 L3 -L7 適⽤場所 EC2やELBなど VPC ALB ,CloudFront,API Gatewayなど VPC CloudFrontやELB、 Route53など デプロイするアプラ イアンス 製品による 料⾦ 無料 無料 従量課⾦ 従量課⾦ 定額料⾦ 従量課⾦

3. AWSでのNWセキュリティ対策 16 n 今回は AWS Network Firewall についてです

4. AWS Network Firewall 17

4. AWS Network Firewall 18 n AWS Network Firewallで出来ること • ステートレスパケットフィルタ(5-tuple) • ステートフルパケットフィルタ(5-tuple) • ドメインの制御 • Suricata互換のIPS 5-tupleとは 「送信元IP」、「送信元ポート番号」、「宛先IP」、「宛先ポート番号」 「プロトコル番号」の５つを指定して制御ルールを記載すること

4. AWS Network Firewall 19 n SLAと料⾦体系 • ファイアーウォールエンドポイントに対する課⾦時間 0.395/h USD ※NAT Gatewayと併⽤するとNAT Gatewayの料⾦は無料 ・SLA 稼働率99.99% マネージドサービスのため、サーバーのメンテナンスが不要。 ルール設定等に注⼒する事が出来る。

4. AWS Network Firewall 20 n ステートレスパケットフィルタ(5-tuple) • ステートレスパケットフィルタは⾏きと帰りの通信を双⽅向で許可する必要があるフィルタ リング⽅法

4. AWS Network Firewall 21 n ステートフルパケットフィルタ(5-tuple) • ステートフルパケットフィルタは⾏きの通信のみを定義するだけで帰りの通信は⾃動的に許 可されるフィルタリング⽅式

4. AWS Network Firewall 22 n ドメインの制御 ・www.iret.co.jpのようなドメインで制御(ホワイト/ブラックリスト)ができるフィルタリング ⽅式 ・ドメインの制御はステートフル

4. AWS Network Firewall 23 n Suricata互換のIPS ・シグネチャ型(パターンベース)のIPSが実装可能 ・シグネチャをカスタムで定義することも、公開されているシグネチャを利⽤する事も出来る

4. AWS Network Firewall 24 n 公開されているシグネチャ例 ・ThreatSignaturesScannersStrictOrde スキャン ツールからの偵察と調査を検出するためのシグネチャ ・ThreatSignaturesMalwareCoinminingStrictOrder マルウェアコインマイニングを検出するためのシグネチャ

4. AWS Network Firewall 25 n シグネチャの中⾝ ・www.iret.co.jp へのhttps通信をdropするシグネチャ drop tcp $HOME_NET any -> any(msg:“違反検出 https://www.iret.co.jp"; tls.sni; cont$EXTERNAL_NET ent:"www.iret.co.jp"; startswith; endswith; flow:to_server, established; sid:1000001; rev:1;) drop このルールに違反した時のアクション tcp $HOME_NET any -> $EXTERNAL_NET any HOME_NET このNetwork FirewallがデプロイされているVPC CIDRから,それ以外のIPアドレスへのtpcポート全て msg:“違反検出 https://www.iret.co.jp このルールに該当した場合にログに出⼒されるメッセージ tls.sni; content:“www.iret.co.jp”; startswith; endswith; SNIフィールドにwww.iret.co.jpが含まれた場合 flow:to_server, established クライアントからwww.iret.co.jpを提供しているサーバーに対して通信が確⽴されたものにルールを適⽤する sid:1000001; rev:1; ルールの識別⼦とリビジョン番号(ユーザーが作成したシグネチャのIDは1000000-1999999で指定)

4. AWS Network Firewall 26 n AWS Network Firewallの構成要素 ・ファイアーウォール ・ファイアウォールポリシー ・ルールグループ

4. AWS Network Firewall 27 n ファイアーウォール ・AWS Network Firewall構築時に指定したサブネットにGateway Load Balancerのエンドポ イントが作成されるため、検査対象の通信は⼀時的にVPC外へ転送されることになる。

4. AWS Network Firewall 28 n ファイアーウォールポリシー ・AWS Network Firewallで検査する動作を指定する。 ルールグループの順序やアクションを管理する。

4. AWS Network Firewall 29 n ファイアーウォールルールグループ ・ファイアーウォールルールの順序やアクションを管理する。

4. AWS Network Firewall 30 n ファイアーウォールルールグループの種類 ステートレスルール ステートフルルール アンマネージドステートレスルール ※マネージドステートレスルールは、 提供されていない アンマネージドステートフルルール マネージドステートフルルール

4. AWS Network Firewall 31 n ファイアーウォールルールグループの種類 ・アンマネージドステートレスルールグループ ステートレスパケットフィルタリングを定義するルールグループ ユーザーでステートレスルールを設定(IPアドレスとポート) ・アンマネージドステートフルルールグループ ステートフルルールグループを定義するルールグループ ユーザーでステートフルルールを設定(IPアドレスとポート、ドメイン、シグネチャ) ・マネージドステーフルルールグループ AWSから提供されているルールグループ MalwareDomainsActionOrder ・・・既知のマルウェアをホストしているドメインへの通信をブロックするルール

4. AWS Network Firewall 32 n ファイアウォールルールの評価順序 1.ステートレスルールに定義されているルール 2.ステートフルルールに定義されているルール の順序で評価が⾏われる ルールに⼀致しない通信に対してどのような動作をさせるのかという設定を⾏うものが 「デフォルトのアクション」

4. AWS Network Firewall 33 n ステートレスルールのデフォルトのアクションの考え⽅ パケットの種類(フラグメント/通常) により処理を分けるか 全てに同じデフォルトアクションを適⽤ フラグメント化されたパケットは ルールを分ける フラグメント化されたパケット 通常のパケット 全て許可 全て許可 全て拒否 全て拒否 ステートフルルールに転送 ステートフルルールに転送 or 全て許可 全て拒否 ステートフルルールに転送 or or or or or ※何れかの処理を実⾏ ※何れかの処理を実⾏ ※何れかの処理を実⾏ Yes No ステートレスルールに該当しない

4. AWS Network Firewall 34 n ステートフルルールのデフォルトのアクションの考え⽅ 全てをドロップ or 確⽴された接続のパケットをドロップ or/and すべてアラート 確⽴された接続のパケットをアラート or/and ドロップを選択しない場合は全て許可となる ステートレスルールから転送 ステートフルルールに該当しない ※何れかの処理を実⾏ ※何れかの処理を実⾏ アラートログをcloudwatch logsに出⼒

4. AWS Network Firewall 35 n ルール定義の考え⽅ ・許可したい通信のみを定義して、それ以外の通信は暗黙のDenyで拒否するホワイトリスト⽅式 ・許可したくない通信のみを定義して拒否するブラックリスト⽅式 ⽅式 採⽤するケース メリット デメリット ホワイトリスト⽅式 ・セキュリティ要件が⾼い環境 ・未知の攻撃に効果を発揮する ・想定外の通信をさせない ・ユーザビリティに影響 ・ルールが複雑になりがち ブラックリスト⽅式 ・セキュリティ要件が緩い環境 ・正常な通信を妨げない ・未知の攻撃に対処出来ない

4. AWS Network Firewall 36 構成パターン例

4. AWS Network Firewall 37 n 分散型の共有モデル

4. AWS Network Firewall 38 n 集約型の展開モデル

4. AWS Network Firewall 39 n AWS Network Firewallの私が⾒た利⽤⽅法 ・フォワードプロキシとして利⽤ URLフィルタリングなどの要望が 稀によくある インターネットが送信元となる通信に対する 防御ルールを構成することも可能だが AWS WAFやセキュリティグループなどで 防御や制限を実施する⽅法をよくみる

5. まとめ 40

5. まとめ 41 n まとめ ・マネージドサービスのため、リソース管理が不要で ルールの管理といったセキュリティ強化の検討に注⼒することが出来る • ステートレスパケットフィルタ、ステートフルパケットフィルタ、ドメインの制御、 Suricata互換のIPSを⽤いて柔軟にルールを構成することが出来る ・セキュリティは製品を１つ導⼊する事で担保できるという事ではなく、製品の特徴を理解 し、⽬的に応じて多層防御を⾏う必要がある

ご清聴ありがとうございました 42