VCP環境のセキュリティ向上について学べるWorkshop「Approaches to layered security on Amazon VPC」に参加してきた #AWSreInvent

VCP環境のセキュリティ向上について学べるWorkshop「Approaches to layered security on Amazon VPC」に参加してきた #AWSreInvent

AWS re:Invent 2024

AWS re:Invent 2024

#AWS
和田響

和田響

facebook logohatena logotwitter logo
Clock Icon2024.12.03

はじめに

こんにちは。AWS事業本部コンサルティング部に所属している和田響です。

AWS re:Invent 2024でVCP環境のセキュリティ向上に向けたWorkshopに参加してきたので、そのセッションレポートを記載します。

Workshopとは

Workshopとはセッションタイプの1つで、自分のPCを使ったハンズオン形式で学習ができるコンテンツです。
セッション時間は2時間ですが、ハンズオン用のAWS環境は4時間まで使えるので、時間内に終わらなくても持ち帰って継続することができます。

またハンズオン環境を構築するためのCloudFormationテンプレートがダウンロード可能なので、自分の復習用にもなりますし、re:Inventに参加できなかった方へのお土産にもなると思います。

セッション情報

  • タイトル:NET303-R | Approaches to layered security on Amazon VPC [REPEAT]
  • スピーカー:
    • Chris King,Principal Solutions Architect, Amazon Web Services
    • Kimberley Clements,Solutions Architect, AWS
  • セッション概要: 以下引用

In this workshop, discover practical guidance that can help you build a secure Amazon VPC. Using a hands-on approach, review Amazon VPC features such as subnets, security groups, flow logs, and routing. Then, learn how you can add on additional layers of security and how to securely ingress and egress VPC traffic with other services, such as Amazon Route 53 Resolver DNS Firewall, AWS Network Firewall, Amazon VPC Traffic Mirroring, AWS WAF, and more. You must bring your laptop to participate.

(機械翻訳)
このワークショップでは、安全な Amazon VPC の構築に役立つ実用的なガイダンスを紹介します。実践的なアプローチを使用して、サブネット、セキュリティグループ、フローログ、ルーティングなどの Amazon VPC 機能を確認します。次に、セキュリティのレイヤーを追加する方法と、Amazon Route 53 Resolver DNS ファイアウォール、AWS ネットワークファイアウォール、Amazon VPC トラフィックミラーリング、AWS WAF などの他のサービスを使用して VPC トラフィックを安全に送受信する方法を学びます。参加するには、ラップトップを持参する必要があります。

やってみた!

今回は以下のアーキテクチャのセキュリティを向上させていきます。
intro-architecture.png

Workshopは以下の5つのトラック、9個のラボに分かれており、何から取り組んでも大丈夫のようでした。

  • Track A:DNS firewall
    • Lab A1 - Gaining visibility into VPC activity
    • Lab A2 - Implementing a DNS firewall
  • Track B:Network analysis
    • Lab B1 - Analysis VPC network configuration
    • Lab B2 - Mirroring VPC network traffic
  • Track C:Network firewall
    • Lab C1 - Setting the routing for network firewall
    • Lab C2 - Configuring firewall rules
  • Track D:Gateway Load Balancer (GWLB)
    • Lab D1 - Configuring the VPC appliance with Gateway Load Balancer
    • Lab D2 - Setting the routing for Gateway Load Balancer
  • Track E:Web application firewall
    • Lab E1 - Protecting web applications
      tracks.png

実際の進捗はCloudWatch ダッシュボードに表示されており、
スクリーンショット 2024-12-02 8.53.28.png

課題をクリアしていくとチェックがつくようになります。
スクリーンショット 2024-12-02 8.57.32.png

各課題には参考になるドキュメントやヒントが記載されており、本当に何もわからない時のための手順書も用意されています。
2時間はあっという間に過ぎてしまうので、少し触ってみてわからなければ手順書を見るのも良いと思います。

学んだこと

Workshopは実際に実装する経験ができるのが良いポイントだと思いました。
特に以下のサービスや機能は「名前だけは知っている」状態から「実装したことがある」まで成長できました。

  • VPC Network Access Analyzer
  • DNS firewall
  • Traffic Mirroring
  • Gateway Load Balancer

最後に

AWSを使う上で、VPC環境のセキュリティ対策は非常に優先順位が高いです。
本ワークショップではそれらを網羅的に学習できたのでよかったです。

Share this article

facebook logohatena logotwitter logo

関連記事

【速報】Amazon Kendra GenAI Index一般提供開始:RAG実装とエンタープライズ検索の統合へ

【速報】Amazon Kendra GenAI Index一般提供開始:RAG実装とエンタープライズ検索の統合へ

User avatar
せーの
2024.12.05
[レポート]ワークショップ「AWSセキュリティサービスを使用した脅威の検出と対応」に参加してきました。#SEC301

[レポート]ワークショップ「AWSセキュリティサービスを使用した脅威の検出と対応」に参加してきました。#SEC301

User avatar
中村 健一
2024.12.05
99.9995%の可用性を実現するオンライン決済サービスであるStripeについて学べる「How Stripe achieves five and a half 9s of availability」に参加してきた #AWSreInvent

99.9995%の可用性を実現するオンライン決済サービスであるStripeについて学べる「How Stripe achieves five and a half 9s of availability」に参加してきた #AWSreInvent

User avatar
和田響
2024.12.05
CloudWatchでセキュリティ可観測性を向上させるワークショップに参加。可視化から対応までの一連の流れをコスパ良く体験できました #AWSreInvent #COP340

CloudWatchでセキュリティ可観測性を向上させるワークショップに参加。可視化から対応までの一連の流れをコスパ良く体験できました #AWSreInvent #COP340

User avatar
川原征大
2024.12.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.