資料公開 re:Invent 2021で発表された Network Access Analyzer を 触ってみた #opsjaws

こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。

Ops JAWS Meetup#20 re:Invent 2021 Recap で登壇しましたので資料を公開します。

サマリ

Network Access Analyzer とは

サポートされている AWS リソース間のネットワーク接続性を分析し意図しないアクセスを発見・識別するサービス。
セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、設定ミスの防止などに活用できる。

使い所

ネットワークの分離

• 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明
• プライベートサブネットが正しくプライベートであることの証明

特定リソースへのアクセス経路診断

• Web サーバーは、ソース ALB の TCP/80 のみ、など

インターネットアクセスが無いことの証明

• 特定リソースから Internet Gateway、NAT Gateway、VGW などインターネットアクセス経路が存在しないことを調べる
• 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる

やってみた

※ スライドをご覧ください。

スコープという概念

スコープと呼ばれるアクセス要件を定義する。
Network Access Analyzer はスコープを用いて分析を行う。
5-tuple のトラフィックパターンと一致/除外の組み合わせで送信元と宛先を定義する。

Reachability Analyzer との違い

Reachability Analyzer は AWS リソースの End-to-End のアクセス分析。
こちらは VPC 全体的。（細かいカスタマイズも可能）

料金

Network Access Analyzer を使用して分析される ENI 数に対して課金。

ENI あたりの価格 : $0.002

料金

Quotas

• 分析数：1,000
• 同時分析の数：25
• アカウントに許可されているアクセススコープの数：1,000

参考

Amazon Virtual Private Cloud (VPC) が、意図しないネットワークアクセスを簡単に特定できる Network Access Analyzer を発表
New – Amazon VPC Network Access Analyzer
Network Access Analyzer Guide
ネットワークがアクセス要件を満たしているか確認するのに便利な VPC Network Access Analyzer がリリースされました！

以上、吉井 亮 がお届けしました。