この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。
Ops JAWS Meetup#20 re:Invent 2021 Recap で登壇しましたので資料を公開します。
サマリ
Network Access Analyzer とは
サポートされている AWS リソース間のネットワーク接続性を分析し意図しないアクセスを発見・識別するサービス。
セキュリティ・コンプライアンスの遵守、潜在的なアクセスルートの発見、設定ミスの防止などに活用できる。
使い所
ネットワークの分離
- 本番環境 CIDR と開発環境 CIDR 間にネットワークアクセスが無いことの証明
- プライベートサブネットが正しくプライベートであることの証明
特定リソースへのアクセス経路診断
- Web サーバーは、ソース ALB の TCP/80 のみ、など
インターネットアクセスが無いことの証明
- 特定リソースから Internet Gateway、NAT Gateway、VGW などインターネットアクセス経路が存在しないことを調べる
- 逆もそう。Internet Gateway から特定リソースへアクセスできないことを調べる
やってみた
※ スライドをご覧ください。
スコープという概念
スコープと呼ばれるアクセス要件を定義する。
Network Access Analyzer はスコープを用いて分析を行う。
5-tuple のトラフィックパターンと一致/除外の組み合わせで送信元と宛先を定義する。
Reachability Analyzer との違い
Reachability Analyzer は AWS リソースの End-to-End のアクセス分析。
こちらは VPC 全体的。(細かいカスタマイズも可能)
料金
Network Access Analyzer を使用して分析される ENI 数に対して課金。
ENI あたりの価格 : $0.002
Quotas
- 分析数:1,000
- 同時分析の数:25
- アカウントに許可されているアクセススコープの数:1,000
参考
Amazon Virtual Private Cloud (VPC) が、意図しないネットワークアクセスを簡単に特定できる Network Access Analyzer を発表
New – Amazon VPC Network Access Analyzer
Network Access Analyzer Guide
ネットワークがアクセス要件を満たしているか確認するのに便利な VPC Network Access Analyzer がリリースされました!
以上、吉井 亮 がお届けしました。
2
