Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpsJAWS20_Network_Access_Analyzerを触ってみた

Ryo Yoshii
December 09, 2021
Technology
0
1.1k

 OpsJAWS20_Network_Access_Analyzerを触ってみた

Ops JAWS Meetup#20 で登壇した資料を公開します
https://opsjaws.doorkeeper.jp/events/129767

Ryo Yoshii

December 09, 2021
Tweet

More Decks by Ryo Yoshii

See All by Ryo Yoshii
Enhancing SRE Using AI
yoshiiryo1
1
120
Amazon Bedrock Agents と Chatbot で無敵のOpsになる
yoshiiryo1
1
120
組織横断型であるがゆえの楽しみと苦しみ
yoshiiryo1
4
1.1k
EC2 の運用と監視の基本をおさらい 「監視、バックアップ、操作」
yoshiiryo1
0
490
re:Invent2023 現地レポ& Cloud Operation サービス Update
yoshiiryo1
0
170
Amazon CloudWatch Application Signals(Preview) 徹底解説
yoshiiryo1
0
1.5k
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
yoshiiryo1
2
2.4k
OpsJAWS MEETUP25_みんなが幸せなインシデント管理
yoshiiryo1
0
1.2k
AWS Systems Manager Incident Manager で実現するインシデント管理
yoshiiryo1
0
1.7k

Other Decks in Technology

See All in Technology
reinvent2024を起点に振り返るサーバーレスアップデート
mihonda
1
170
サーバーレス環境における生成AI活用の可能性
mikanbox
1
160
Skip Skip Run Run Run ♫
temoki
0
320
フラット構造をやめた理由と、EM / Tech Leadを作った理由
baroqueworksdev
0
380
re:Invent Recap (January 2025)
scalefactory
0
320
AIアプリケーション開発でAzure AI Searchを使いこなすためには
isidaitc
1
260
第27回クラウド女子会 ~re:Invent 振り返りLT会~ 私の周辺で反響のあった re:Invent 2024 アップデートつれづれ/reinvent-2024-update-reverberated-around-me
emiki
1
560
Tech Blog執筆のモチベート向上作戦
imamura_ko_0314
0
620
dbtを中心にして組織のアジリティとガバナンスのトレードオンを考えてみた
gappy50
2
400
LLM活用の現在とこれから:LayerXにおける事例とともに 2025/1 ver. / layerx-llm-202501
yuya4
3
240
信頼性を支えるテレメトリーパイプラインの構築 / Building Telemetry Pipeline with OpenTelemetry
ymotongpoo
9
4.1k
15年入社者に聞く! これまでのCAのキャリアとこれから
kurochan
1
130

Featured

See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Practical Orchestrator
shlominoach
186
10k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.3k
Testing 201, or: Great Expectations
jmmastey
41
7.2k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.8k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Designing Experiences People Love
moore
139
23k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
3
370
Embracing the Ebb and Flow
colly
84
4.5k
What's in a price? How to price your products and services
michaelherold
244
12k
Side Projects
sachag
452
42k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k

Transcript

  1. re:Invent 2021で発表された Network Access Analyzer を 触ってみた Ops JAWS Meetup#20

    2021年12月9日 吉井 亮

  2. 自己紹介 吉井 亮 ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/

    好きな言葉 : No human labor is no human error. 2

  3. 何を取り上げるか? ➔ CloudWatch Metrics Insights / RUM / Evidently ➔

    Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる! ➔ Inspector 3

  4. Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し 意図しないアクセスを発見・識別するサービス。 セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、

    設定ミスの防止などに活用できる。

  5. 使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆

    プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW など インターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5

  6. 有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6

  7. 有効にしてみた 初回は「使用を開始する」ボタンがあります。 7

  8. スコープという概念 スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで 送信元と宛先を定義する。 スコープで定義された内容と、実際のセキュリティグループ/

    NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して 分析していると思われる。 8

  9. デフォルトのスコープ • AWS-VPC-Egress(Amazonが作成) ◦ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、 トランジットゲートウェイへの出力パスを特定します。 • AWS-VPC-Ingress(Amazonが作成) ◦ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トラン

    ジットゲートウェイからVPCへの入力パスを特定します。 • AWS-IGW-Egress(Amazonが作成) ◦ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特 定します。 • All-IGW-Ingress(Amazon が作成) ◦ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特 定します。 9

  10. カスタムスコープ スコープは独自に作成可能 テンプレートを選んで 条件を埋めていく 10

  11. カスタムスコープ 一致条件と除外条件 送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にある ような特定用途に絞った 分析を行いたい場合に 活用 11

  12. カスタムスコープ ~リソースで指定 • EC2インスタンス(送信元と宛先のみ) • ネットワークインターフェイス (送信元と宛先のみ) • セキュリティグループ(送信元と宛先のみ) •

    サブネット(送信元と宛先のみ) • VPC(送信元と宛先のみ) • インターネットゲートウェイ(送信元と宛先の み) • 仮想プライベートゲートウェイ(送信元と宛先の み) • トランジットゲートウェイアタッチメント 12 • VPCピアリング接続 • VPCエンドポイント • VPC Endpoint Services • NATゲートウェイ(フィールド経由のみ) • ネットワークファイアウォール(フィールドの み) • クラシック、アプリケーション、およびネット ワークロードバランサー(フィールドのみ) • Resource Groups (前述のタイプのリソースが含 まれている必要があります) 分析する対象は VPC 関連リソースのみ。 自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、 後述のトラフィックタイプで指定。

  13. カスタムスコープ ~リソースIDで指定 • AWS::EC2::InternetGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::VPNGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::TransitGatewayAttachment

    • AWS::EC2::VPCPeeringConnection • AWS::EC2::VPCEndpoint (ソースフィールドではサポートされていません) • AWS::EC2::VPCEndpointService • AWS::EC2::NatGateway (スルーフィールドのみ) • AWS::ElasticLoadBalancing::LoadBalancer (スルーフィールドのみ) • AWS::ElasticLoadBalancingV2::LoadBalancer (スルーフィールドのみ) • AWS::NetworkFirewall::NetworkFirewall (スルーフィールドのみ) 13

  14. カスタムスコープ ~トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress

    • DestinationPrefixLists • SourcePorts • DestinationPorts 14

  15. 分析 分析ボタンをクリックすると分析開始。 数分待つ。(ENI、SG、NACL、xxx Gateway などの数に依って変わりそう) 15

  16. 分析の表示 16

  17. 分析の表示 ~フィルター 17

  18. 分析の表示 18 選択すると詳細が表示される

  19. 分析の表示 ~詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先まで リソース ID と共に 経路が表示される

  20. 分析の表示 ~マウスオーバー 20

  21. Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End

    のアクセス分析。 こちらは VPC 全体的。(細かいカスタマイズも可能) AWS 内部の分析エンジンはどうやら同じようだ。

  22. 料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :

    $0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22

  23. Quotas ❏ 分析数:1,000 ❏ 同時分析の数:25 ❏ アカウントに許可されているアクセススコープの数:1,000 引きあげたい場合は ServiceQuotas からリクエスト。

    23

  24. ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24

  25. CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings

    get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25

  26. CloudFormation 26

  27. Terraform 2021年12月7日時点 リソース見つかりませんでした。知っていたら教えてください。 27

  28. AWS Architecture Icons 2021年12月7日時点 まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28

  29. ありがとうございました 29