OpsJAWS20_Network_Access_Analyzerを触ってみた

Slide 1

Slide 1 text

re:Invent 2021で発表された Network Access Analyzer を触ってみた Ops JAWS Meetup#20 2021年12月9日吉井亮

Slide 2

Slide 2 text

自己紹介吉井亮ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/ 好きな言葉 : No human labor is no human error. 2

Slide 3

Slide 3 text

何を取り上げるか？ ➔ CloudWatch Metrics Insights / RUM / Evidently ➔ Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる！ ➔ Inspector 3

Slide 4

Slide 4 text

Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し意図しないアクセスを発見・識別するサービス。セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、設定ミスの防止などに活用できる。

Slide 5

Slide 5 text

使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆ プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW などインターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5

Slide 6

Slide 6 text

有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6

Slide 7

Slide 7 text

有効にしてみた初回は「使用を開始する」ボタンがあります。 7

Slide 8

Slide 8 text

スコープという概念スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで送信元と宛先を定義する。スコープで定義された内容と、実際のセキュリティグループ/ NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して分析していると思われる。 8

Slide 9

Slide 9 text

デフォルトのスコープ ● AWS-VPC-Egress（Amazonが作成） ○ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、トランジットゲートウェイへの出力パスを特定します。 ● AWS-VPC-Ingress（Amazonが作成） ○ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トランジットゲートウェイからVPCへの入力パスを特定します。 ● AWS-IGW-Egress（Amazonが作成） ○ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特定します。 ● All-IGW-Ingress（Amazon が作成） ○ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特定します。 9

Slide 10

Slide 10 text

カスタムスコープスコープは独自に作成可能テンプレートを選んで条件を埋めていく 10

Slide 11

Slide 11 text

カスタムスコープ一致条件と除外条件送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にあるような特定用途に絞った分析を行いたい場合に活用 11

Slide 12

Slide 12 text

カスタムスコープ～リソースで指定 ● EC2インスタンス（送信元と宛先のみ） ● ネットワークインターフェイス（送信元と宛先のみ） ● セキュリティグループ（送信元と宛先のみ） ● サブネット（送信元と宛先のみ） ● VPC（送信元と宛先のみ） ● インターネットゲートウェイ（送信元と宛先のみ） ● 仮想プライベートゲートウェイ（送信元と宛先のみ） ● トランジットゲートウェイアタッチメント 12 ● VPCピアリング接続 ● VPCエンドポイント ● VPC Endpoint Services ● NATゲートウェイ（フィールド経由のみ） ● ネットワークファイアウォール（フィールドのみ） ● クラシック、アプリケーション、およびネットワークロードバランサー（フィールドのみ） ● Resource Groups （前述のタイプのリソースが含まれている必要があります）分析する対象は VPC 関連リソースのみ。自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、後述のトラフィックタイプで指定。

Slide 13

Slide 13 text

カスタムスコープ～リソースIDで指定 ● AWS::EC2::InternetGateway （ソースフィールドと宛先フィールドのみ） ● AWS::EC2::VPNGateway （ソースフィールドと宛先フィールドのみ） ● AWS::EC2::TransitGatewayAttachment ● AWS::EC2::VPCPeeringConnection ● AWS::EC2::VPCEndpoint （ソースフィールドではサポートされていません） ● AWS::EC2::VPCEndpointService ● AWS::EC2::NatGateway （スルーフィールドのみ） ● AWS::ElasticLoadBalancing::LoadBalancer （スルーフィールドのみ） ● AWS::ElasticLoadBalancingV2::LoadBalancer （スルーフィールドのみ） ● AWS::NetworkFirewall::NetworkFirewall （スルーフィールドのみ） 13

Slide 14

Slide 14 text

カスタムスコープ～トラフィックタイプ ● Protocols ● SourceAddresses ● SourcePrefixLists ● DestinationAddress ● DestinationPrefixLists ● SourcePorts ● DestinationPorts 14

Slide 15

Slide 15 text

分析分析ボタンをクリックすると分析開始。数分待つ。（ENI、SG、NACL、xxx Gateway などの数に依って変わりそう） 15

Slide 16

Slide 16 text

分析の表示 16

Slide 17

Slide 17 text

分析の表示～フィルター 17

Slide 18

Slide 18 text

分析の表示 18 選択すると詳細が表示される

Slide 19

Slide 19 text

分析の表示～詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先までリソース ID と共に経路が表示される

Slide 20

Slide 20 text

分析の表示～マウスオーバー 20

Slide 21

Slide 21 text

Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End のアクセス分析。こちらは VPC 全体的。（細かいカスタマイズも可能） AWS 内部の分析エンジンはどうやら同じようだ。

Slide 22

Slide 22 text

料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 : $0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22

Slide 23

Slide 23 text

Quotas ❏ 分析数：1,000 ❏ 同時分析の数：25 ❏ アカウントに許可されているアクセススコープの数：1,000 引きあげたい場合は ServiceQuotas からリクエスト。 23

Slide 24

Slide 24 text

ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24

Slide 25

Slide 25 text

CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25

Slide 26

Slide 26 text

CloudFormation 26

Slide 27

Slide 27 text

Terraform 2021年12月7日時点リソース見つかりませんでした。知っていたら教えてください。 27

Slide 28

Slide 28 text

AWS Architecture Icons 2021年12月7日時点まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28

Slide 29

Slide 29 text

ありがとうございました 29