Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpsJAWS20_Network_Access_Analyzerを触ってみた

Avatar for Ryo Yoshii Ryo Yoshii
December 09, 2021
Technology
0
1.2k

 OpsJAWS20_Network_Access_Analyzerを触ってみた

Ops JAWS Meetup#20 で登壇した資料を公開します
https://opsjaws.doorkeeper.jp/events/129767

Avatar for Ryo Yoshii

Ryo Yoshii

December 09, 2021
Tweet

More Decks by Ryo Yoshii

See All by Ryo Yoshii
SRE with AI:実践から学ぶ、運用課題解決と未来への展望
Avatar for Ryo Yoshii yoshiiryo1
1
1.5k
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
Avatar for Ryo Yoshii yoshiiryo1
1
660
Enhancing SRE Using AI
Avatar for Ryo Yoshii yoshiiryo1
1
1k
Amazon Bedrock Agents と Chatbot で無敵のOpsになる
Avatar for Ryo Yoshii yoshiiryo1
1
240
組織横断型であるがゆえの楽しみと苦しみ
Avatar for Ryo Yoshii yoshiiryo1
4
1.2k
EC2 の運用と監視の基本をおさらい 「監視、バックアップ、操作」
Avatar for Ryo Yoshii yoshiiryo1
0
760
re:Invent2023 現地レポ& Cloud Operation サービス Update
Avatar for Ryo Yoshii yoshiiryo1
0
210
Amazon CloudWatch Application Signals(Preview) 徹底解説
Avatar for Ryo Yoshii yoshiiryo1
0
2k
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
Avatar for Ryo Yoshii yoshiiryo1
2
2.8k

Other Decks in Technology

See All in Technology
AI時代におけるデータの重要性 ~データマネジメントの第一歩~
Avatar for 太田 涼一 ryoichi_ota
0
710
頭部ふわふわ浄酔器
Avatar for uyupun uyupun
0
110
[2025年10月版] Databricks Data + AI Boot Camp
Avatar for Databricks Japan databricksjapan
1
260
Biz職でもDifyでできる! 「触らないAIワークフロー」を実現する方法
Avatar for kanacan igarashikana
7
3.3k
ViteとTypeScriptのProject Referencesで 大規模モノレポのUIカタログのリリースサイクルを高速化する
Avatar for did0es shuta13
3
200
Azure Well-Architected Framework入門
Avatar for tomokusaba tomokusaba
1
120
[VPoE Global Summit] サービスレベル目標による信頼性への投資最適化
Avatar for sato-s satos
0
240
Behind Postgres 18: The People, the Code, & the Invisible Work | Claire Giordano | PGConfEU 2025
Avatar for Claire Giordano clairegiordano
0
130
パフォーマンスチューニングのために普段からできること/Performance Tuning: Daily Practices
Avatar for FUJIWARA Shunichiro fujiwara3
2
100
AI AgentをLangflowでサクッと作って、1日働かせてみた!
Avatar for Yano-13 yano13
1
160
OTEPsで知るOpenTelemetryの未来 / Observability Conference Tokyo 2025
Avatar for Arthur arthur1
0
210
SRE × マネジメントレイヤーが挑戦した組織・会社のオブザーバビリティ改革 ― ビジネス価値と信頼性を両立するリアルな挑戦
Avatar for coconala_engineer coconala_engineer
0
210

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
54k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
59
9.6k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
57k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.8k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
49
51k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
34
2.3k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
5.9k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
23k
It's Worth the Effort
Avatar for 3n 3n
187
28k

Transcript

  1. re:Invent 2021で発表された Network Access Analyzer を 触ってみた Ops JAWS Meetup#20

    2021年12月9日 吉井 亮

  2. 自己紹介 吉井 亮 ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/

    好きな言葉 : No human labor is no human error. 2

  3. 何を取り上げるか? ➔ CloudWatch Metrics Insights / RUM / Evidently ➔

    Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる! ➔ Inspector 3

  4. Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し 意図しないアクセスを発見・識別するサービス。 セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、

    設定ミスの防止などに活用できる。

  5. 使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆

    プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW など インターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5

  6. 有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6

  7. 有効にしてみた 初回は「使用を開始する」ボタンがあります。 7

  8. スコープという概念 スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで 送信元と宛先を定義する。 スコープで定義された内容と、実際のセキュリティグループ/

    NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して 分析していると思われる。 8

  9. デフォルトのスコープ • AWS-VPC-Egress(Amazonが作成) ◦ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、 トランジットゲートウェイへの出力パスを特定します。 • AWS-VPC-Ingress(Amazonが作成) ◦ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トラン

    ジットゲートウェイからVPCへの入力パスを特定します。 • AWS-IGW-Egress(Amazonが作成) ◦ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特 定します。 • All-IGW-Ingress(Amazon が作成) ◦ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特 定します。 9

  10. カスタムスコープ スコープは独自に作成可能 テンプレートを選んで 条件を埋めていく 10

  11. カスタムスコープ 一致条件と除外条件 送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にある ような特定用途に絞った 分析を行いたい場合に 活用 11

  12. カスタムスコープ ~リソースで指定 • EC2インスタンス(送信元と宛先のみ) • ネットワークインターフェイス (送信元と宛先のみ) • セキュリティグループ(送信元と宛先のみ) •

    サブネット(送信元と宛先のみ) • VPC(送信元と宛先のみ) • インターネットゲートウェイ(送信元と宛先の み) • 仮想プライベートゲートウェイ(送信元と宛先の み) • トランジットゲートウェイアタッチメント 12 • VPCピアリング接続 • VPCエンドポイント • VPC Endpoint Services • NATゲートウェイ(フィールド経由のみ) • ネットワークファイアウォール(フィールドの み) • クラシック、アプリケーション、およびネット ワークロードバランサー(フィールドのみ) • Resource Groups (前述のタイプのリソースが含 まれている必要があります) 分析する対象は VPC 関連リソースのみ。 自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、 後述のトラフィックタイプで指定。

  13. カスタムスコープ ~リソースIDで指定 • AWS::EC2::InternetGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::VPNGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::TransitGatewayAttachment

    • AWS::EC2::VPCPeeringConnection • AWS::EC2::VPCEndpoint (ソースフィールドではサポートされていません) • AWS::EC2::VPCEndpointService • AWS::EC2::NatGateway (スルーフィールドのみ) • AWS::ElasticLoadBalancing::LoadBalancer (スルーフィールドのみ) • AWS::ElasticLoadBalancingV2::LoadBalancer (スルーフィールドのみ) • AWS::NetworkFirewall::NetworkFirewall (スルーフィールドのみ) 13

  14. カスタムスコープ ~トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress

    • DestinationPrefixLists • SourcePorts • DestinationPorts 14

  15. 分析 分析ボタンをクリックすると分析開始。 数分待つ。(ENI、SG、NACL、xxx Gateway などの数に依って変わりそう) 15

  16. 分析の表示 16

  17. 分析の表示 ~フィルター 17

  18. 分析の表示 18 選択すると詳細が表示される

  19. 分析の表示 ~詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先まで リソース ID と共に 経路が表示される

  20. 分析の表示 ~マウスオーバー 20

  21. Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End

    のアクセス分析。 こちらは VPC 全体的。(細かいカスタマイズも可能) AWS 内部の分析エンジンはどうやら同じようだ。

  22. 料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :

    $0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22

  23. Quotas ❏ 分析数:1,000 ❏ 同時分析の数:25 ❏ アカウントに許可されているアクセススコープの数:1,000 引きあげたい場合は ServiceQuotas からリクエスト。

    23

  24. ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24

  25. CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings

    get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25

  26. CloudFormation 26

  27. Terraform 2021年12月7日時点 リソース見つかりませんでした。知っていたら教えてください。 27

  28. AWS Architecture Icons 2021年12月7日時点 まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28

  29. ありがとうございました 29