Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpsJAWS20_Network_Access_Analyzerを触ってみた
Search
Ryo Yoshii
December 09, 2021
Technology
0
1.2k
OpsJAWS20_Network_Access_Analyzerを触ってみた
Ops JAWS Meetup#20 で登壇した資料を公開します
https://opsjaws.doorkeeper.jp/events/129767
Ryo Yoshii
December 09, 2021
Tweet
Share
More Decks by Ryo Yoshii
See All by Ryo Yoshii
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
yoshiiryo1
1
590
Enhancing SRE Using AI
yoshiiryo1
1
920
Amazon Bedrock Agents と Chatbot で無敵のOpsになる
yoshiiryo1
1
200
組織横断型であるがゆえの楽しみと苦しみ
yoshiiryo1
4
1.2k
EC2 の運用と監視の基本をおさらい 「監視、バックアップ、操作」
yoshiiryo1
0
660
re:Invent2023 現地レポ& Cloud Operation サービス Update
yoshiiryo1
0
200
Amazon CloudWatch Application Signals(Preview) 徹底解説
yoshiiryo1
0
1.8k
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
yoshiiryo1
2
2.6k
OpsJAWS MEETUP25_みんなが幸せなインシデント管理
yoshiiryo1
0
1.3k
Other Decks in Technology
See All in Technology
スタートアップに選択肢を 〜生成AIを活用したセカンダリー事業への挑戦〜
nstock
0
210
MobileActOsaka_250704.pdf
akaitadaaki
0
130
20250707-AI活用の個人差を埋めるチームづくり
shnjtk
4
3.9k
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
190
LangSmith×Webhook連携で実現するプロンプトドリブンCI/CD
sergicalsix
1
240
AI専用のリンターを作る #yumemi_patch
bengo4com
5
4.3k
Claude Code に プロジェクト管理やらせたみた
unson
6
4.2k
OSSのSNSツール「Misskey」をさわってみよう(右下ワイプで私のOSCの20年を振り返ります) / 20250705-osc2025-do
akkiesoft
0
170
自律的なスケーリング手法FASTにおけるVPoEとしてのアカウンタビリティ / dev-productivity-con-2025
yoshikiiida
1
17k
Delegating the chores of authenticating users to Keycloak
ahus1
0
140
マネジメントって難しい、けどおもしろい / Management is tough, but fun! #em_findy
ar_tama
7
1.1k
Lakebaseを使ったAIエージェントを実装してみる
kameitomohiro
0
130
Featured
See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
46
9.6k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
740
A Tale of Four Properties
chriscoyier
160
23k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Side Projects
sachag
455
42k
Code Review Best Practice
trishagee
69
18k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.4k
Java REST API Framework Comparison - PWX 2021
mraible
31
8.7k
Transcript
re:Invent 2021で発表された Network Access Analyzer を 触ってみた Ops JAWS Meetup#20
2021年12月9日 吉井 亮
自己紹介 吉井 亮 ネクストモード株式会社 Twitter : @YoshiiRyo1 Blog : https://dev.classmethod.jp/author/yoshii-ryo/
好きな言葉 : No human labor is no human error. 2
何を取り上げるか? ➔ CloudWatch Metrics Insights / RUM / Evidently ➔
Amazon DevOps Guru for RDS ➔ VPC IPAM ➔ W-A サス柱 ➔ EBS Snapshot ゴミ箱 ➔ AWS Backup S3/VMware ➔ Direct Connect SiteLink ➔ Transit Gateway Inter Region Peering ➔ Chatbot, Slack で AWS CLI 打てる! ➔ Inspector 3
Network Access Analyzer とは 4 サポートされている AWS リソース間のネットワーク接続性を分析し 意図しないアクセスを発見・識別するサービス。 セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、
設定ミスの防止などに活用できる。
使い所 ➔ ネットワークの分離 ◆ 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明 ◆
プライベートサブネットが正しくプライベートであることの証明 ➔ 特定リソースへのアクセス経路診断 ◆ Web サーバーは、ソース ALB の TCP/80 のみ、など ➔ インターネットアクセスが無いことの証明 ◆ 特定リソースから Internet Gateway、NAT Gateway、VGW など インターネットアクセス経路が存在しないことを調べる ◆ 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる 5
有効にしてみた VPC 画面の左側メニューに Network Access Analyzer があります。 https://ap-northeast-1.console.aws.amazon.com/vpc/home?region=ap-northeast-1#NetworkAccessScopes: 6
有効にしてみた 初回は「使用を開始する」ボタンがあります。 7
スコープという概念 スコープと呼ばれるアクセス要件を定義する。 Network Access Analyzer はスコープを用いて分析を行う。 5-tuple のトラフィックパターンと一致/除外の組み合わせで 送信元と宛先を定義する。 スコープで定義された内容と、実際のセキュリティグループ/
NACL / ルートテーブル / サブネット関連付け / VGW 割当などの設定を比較して 分析していると思われる。 8
デフォルトのスコープ • AWS-VPC-Egress(Amazonが作成) ◦ すべてのVPCからインターネットゲートウェイ、ピアリング接続、VPCエンドポイント、VPN、 トランジットゲートウェイへの出力パスを特定します。 • AWS-VPC-Ingress(Amazonが作成) ◦ インターネットゲートウェイ、ピアリング接続、VPCサービスエンドポイント、VPN、トラン
ジットゲートウェイからVPCへの入力パスを特定します。 • AWS-IGW-Egress(Amazonが作成) ◦ すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特 定します。 • All-IGW-Ingress(Amazon が作成) ◦ インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特 定します。 9
カスタムスコープ スコープは独自に作成可能 テンプレートを選んで 条件を埋めていく 10
カスタムスコープ 一致条件と除外条件 送信元と送信先を指定 (VPC内のリソース) テンプレートの説明にある ような特定用途に絞った 分析を行いたい場合に 活用 11
カスタムスコープ ~リソースで指定 • EC2インスタンス(送信元と宛先のみ) • ネットワークインターフェイス (送信元と宛先のみ) • セキュリティグループ(送信元と宛先のみ) •
サブネット(送信元と宛先のみ) • VPC(送信元と宛先のみ) • インターネットゲートウェイ(送信元と宛先の み) • 仮想プライベートゲートウェイ(送信元と宛先の み) • トランジットゲートウェイアタッチメント 12 • VPCピアリング接続 • VPCエンドポイント • VPC Endpoint Services • NATゲートウェイ(フィールド経由のみ) • ネットワークファイアウォール(フィールドの み) • クラシック、アプリケーション、およびネット ワークロードバランサー(フィールドのみ) • Resource Groups (前述のタイプのリソースが含 まれている必要があります) 分析する対象は VPC 関連リソースのみ。 自社拠点 IP アドレスは Internet Gateway/VGW をリソースに指定で代替、かつ、 後述のトラフィックタイプで指定。
カスタムスコープ ~リソースIDで指定 • AWS::EC2::InternetGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::VPNGateway (ソースフィールドと宛先フィールドのみ) • AWS::EC2::TransitGatewayAttachment
• AWS::EC2::VPCPeeringConnection • AWS::EC2::VPCEndpoint (ソースフィールドではサポートされていません) • AWS::EC2::VPCEndpointService • AWS::EC2::NatGateway (スルーフィールドのみ) • AWS::ElasticLoadBalancing::LoadBalancer (スルーフィールドのみ) • AWS::ElasticLoadBalancingV2::LoadBalancer (スルーフィールドのみ) • AWS::NetworkFirewall::NetworkFirewall (スルーフィールドのみ) 13
カスタムスコープ ~トラフィックタイプ • Protocols • SourceAddresses • SourcePrefixLists • DestinationAddress
• DestinationPrefixLists • SourcePorts • DestinationPorts 14
分析 分析ボタンをクリックすると分析開始。 数分待つ。(ENI、SG、NACL、xxx Gateway などの数に依って変わりそう) 15
分析の表示 16
分析の表示 ~フィルター 17
分析の表示 18 選択すると詳細が表示される
分析の表示 ~詳細 19 画面下に詳細が表示 (頑張ってスクロール) 送信元から宛先まで リソース ID と共に 経路が表示される
分析の表示 ~マウスオーバー 20
Reachability Analyzer との違い 21 Reachability Analyzer は AWS リソースの End-to-End
のアクセス分析。 こちらは VPC 全体的。(細かいカスタマイズも可能) AWS 内部の分析エンジンはどうやら同じようだ。
料金 Network Access Analyzer を使用して分析される ENI 数に対して課金。 ENI あたりの価格 :
$0.002 https://aws.amazon.com/vpc/pricing/?nc1=h_ls 22
Quotas ❏ 分析数:1,000 ❏ 同時分析の数:25 ❏ アカウントに許可されているアクセススコープの数:1,000 引きあげたい場合は ServiceQuotas からリクエスト。
23
ドキュメント https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/index.html VPC とは別ドキュメント 24
CLI 最新バージョン aws ec2 create-network-insights-access-scope delete-network-insights-access-scope delete-network-insights-access-scope-analysis describe-network-insights-access-scope-analyses describe-network-insights-access-scopes get-network-insights-access-scope-analysis-findings
get-network-insights-access-scope-content start-network-insights-access-scope-analysis 25
CloudFormation 26
Terraform 2021年12月7日時点 リソース見つかりませんでした。知っていたら教えてください。 27
AWS Architecture Icons 2021年12月7日時点 まだでした https://aws.amazon.com/architecture/icons/?nc1=h_ls 28
ありがとうございました 29