Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpsJAWS20_Network_Access_Analyzerを触ってみた

Avatar for Ryo Yoshii Ryo Yoshii
December 09, 2021
Technology
0
1.2k

 OpsJAWS20_Network_Access_Analyzerを触ってみた

Ops JAWS Meetup#20 で登壇した資料を公開します
https://opsjaws.doorkeeper.jp/events/129767
Avatar for Ryo Yoshii

Ryo Yoshii

December 09, 2021
Tweet

More Decks by Ryo Yoshii

See All by Ryo Yoshii
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
Avatar for Ryo Yoshii yoshiiryo1
1
590
Enhancing SRE Using AI
Avatar for Ryo Yoshii yoshiiryo1
1
920
Amazon Bedrock Agents と Chatbot で無敵のOpsになる
Avatar for Ryo Yoshii yoshiiryo1
1
200
組織横断型であるがゆえの楽しみと苦しみ
Avatar for Ryo Yoshii yoshiiryo1
4
1.2k
EC2 の運用と監視の基本をおさらい 「監視、バックアップ、操作」
Avatar for Ryo Yoshii yoshiiryo1
0
660
re:Invent2023 現地レポ& Cloud Operation サービス Update
Avatar for Ryo Yoshii yoshiiryo1
0
200
Amazon CloudWatch Application Signals(Preview) 徹底解説
Avatar for Ryo Yoshii yoshiiryo1
0
1.8k
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
Avatar for Ryo Yoshii yoshiiryo1
2
2.6k
OpsJAWS MEETUP25_みんなが幸せなインシデント管理
Avatar for Ryo Yoshii yoshiiryo1
0
1.3k

Other Decks in Technology

See All in Technology
スタートアップに選択肢を 〜生成AIを活用したセカンダリー事業への挑戦〜
Avatar for Nstock nstock
0
210
MobileActOsaka_250704.pdf
Avatar for AKAI Tadaaki akaitadaaki
0
130
20250707-AI活用の個人差を埋めるチームづくり
Avatar for shnjtk shnjtk
4
3.9k
Tokyo_reInforce_2025_recap_iam_access_analyzer
Avatar for h-ashisan hiashisan
0
190
LangSmith×Webhook連携で実現するプロンプトドリブンCI/CD
Avatar for sergicalsix sergicalsix
1
240
AI専用のリンターを作る #yumemi_patch
Avatar for 弁護士ドットコム bengo4com
5
4.3k
Claude Code に プロジェクト管理やらせたみた
Avatar for 佐藤圭吾 unson
6
4.2k
OSSのSNSツール「Misskey」をさわってみよう(右下ワイプで私のOSCの20年を振り返ります) / 20250705-osc2025-do
Avatar for Akira Ouchi akkiesoft
0
170
自律的なスケーリング手法FASTにおけるVPoEとしてのアカウンタビリティ / dev-productivity-con-2025
Avatar for Yoshiki Iida yoshikiiida
1
17k
Delegating the chores of authenticating users to Keycloak
Avatar for Alexander Schwartz ahus1
0
140
マネジメントって難しい、けどおもしろい / Management is tough, but fun! #em_findy
Avatar for ar_tama ar_tama
7
1.1k
Lakebaseを使ったAIエージェントを実装してみる
Avatar for camay kameitomohiro
0
130

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
46
9.6k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
740
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Side Projects
Avatar for Sacha Greif sachag
455
42k
Code Review Best Practice
Avatar for Trisha Gee trishagee
69
18k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
251
21k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
58
9.4k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
31
8.7k

Transcript

  1. re:Invent 2021で発表された Network Access Analyzer を 触ってみた Ops JAWS Meetup#20

    2021年12月9日 吉井 亮

  2. 自己紹介 吉井 亮 ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/

    好きな言葉 : No human labor is no human error. 2

  3. 何を取り上げるか? ➔ CloudWatch Metrics Insights / RUM / Evidently ➔

    Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる! ➔ Inspector 3

  4. Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し 意図しないアクセスを発見・識別するサービス。 セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、

    設定ミスの防止などに活用できる。

  5. 使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆

    プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW など インターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5

  6. 有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6

  7. 有効にしてみた 初回は「使用を開始する」ボタンがあります。 7

  8. スコープという概念 スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで 送信元と宛先を定義する。 スコープで定義された内容と、実際のセキュリティグループ/

    NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して 分析していると思われる。 8

  9. デフォルトのスコープ • AWS-VPC-Egress(Amazonが作成) ◦ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、 トランジットゲートウェイへの出力パスを特定します。 • AWS-VPC-Ingress(Amazonが作成) ◦ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トラン

    ジットゲートウェイからVPCへの入力パスを特定します。 • AWS-IGW-Egress(Amazonが作成) ◦ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特 定します。 • All-IGW-Ingress(Amazon が作成) ◦ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特 定します。 9

  10. カスタムスコープ スコープは独自に作成可能 テンプレートを選んで 条件を埋めていく 10

  11. カスタムスコープ 一致条件と除外条件 送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にある ような特定用途に絞った 分析を行いたい場合に 活用 11

  12. カスタムスコープ ~リソースで指定 • EC2インスタンス(送信元と宛先のみ) • ネットワークインターフェイス (送信元と宛先のみ) • セキュリティグループ(送信元と宛先のみ) •

    サブネット(送信元と宛先のみ) • VPC(送信元と宛先のみ) • インターネットゲートウェイ(送信元と宛先の み) • 仮想プライベートゲートウェイ(送信元と宛先の み) • トランジットゲートウェイアタッチメント 12 • VPCピアリング接続 • VPCエンドポイント • VPC Endpoint Services • NATゲートウェイ(フィールド経由のみ) • ネットワークファイアウォール(フィールドの み) • クラシック、アプリケーション、およびネット ワークロードバランサー(フィールドのみ) • Resource Groups (前述のタイプのリソースが含 まれている必要があります) 分析する対象は VPC 関連リソースのみ。 自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、 後述のトラフィックタイプで指定。

  13. カスタムスコープ ~リソースIDで指定 • AWS::EC2::InternetGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::VPNGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::TransitGatewayAttachment

    • AWS::EC2::VPCPeeringConnection • AWS::EC2::VPCEndpoint (ソースフィールドではサポートされていません) • AWS::EC2::VPCEndpointService • AWS::EC2::NatGateway (スルーフィールドのみ) • AWS::ElasticLoadBalancing::LoadBalancer (スルーフィールドのみ) • AWS::ElasticLoadBalancingV2::LoadBalancer (スルーフィールドのみ) • AWS::NetworkFirewall::NetworkFirewall (スルーフィールドのみ) 13

  14. カスタムスコープ ~トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress

    • DestinationPrefixLists • SourcePorts • DestinationPorts 14

  15. 分析 分析ボタンをクリックすると分析開始。 数分待つ。(ENI、SG、NACL、xxx Gateway などの数に依って変わりそう) 15

  16. 分析の表示 16

  17. 分析の表示 ~フィルター 17

  18. 分析の表示 18 選択すると詳細が表示される

  19. 分析の表示 ~詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先まで リソース ID と共に 経路が表示される

  20. 分析の表示 ~マウスオーバー 20

  21. Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End

    のアクセス分析。 こちらは VPC 全体的。(細かいカスタマイズも可能) AWS 内部の分析エンジンはどうやら同じようだ。

  22. 料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :

    $0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22

  23. Quotas ❏ 分析数:1,000 ❏ 同時分析の数:25 ❏ アカウントに許可されているアクセススコープの数:1,000 引きあげたい場合は ServiceQuotas からリクエスト。

    23

  24. ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24

  25. CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings

    get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25

  26. CloudFormation 26

  27. Terraform 2021年12月7日時点 リソース見つかりませんでした。知っていたら教えてください。 27

  28. AWS Architecture Icons 2021年12月7日時点 まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28

  29. ありがとうございました 29