[レポート]Analyze your network using Amazon VPC Network Access Analyzer #SEC204-R #reinvent
こんにちは、つくぼし(tsukuboshi0755)です!
re:Invent2022のセッション Analyze your network using Amazon VPC Network Access Analyzer に参加してきたので、レポートしたいと思います。
ワークショップの概要
In this builders’ session, review how the new Amazon VPC Network Access Analyzer can help you identify network configurations that might lead to unintended network access. Learn ways that you can improve your security posture while still allowing you and your organization to be agile and flexible. You must bring your laptop to participate.
このビルダーのセッションでは、新しい Amazon VPC Network Access Analyzer が、意図しないネットワーク アクセスにつながる可能性のあるネットワーク構成を特定するのにどのように役立つかを確認します。あなたとあなたの組織が俊敏性と柔軟性を維持できるようにしながら、セキュリティ体制を改善する方法を学びましょう。参加するにはノートパソコンを持参する必要があります。
スピーカー
- Ruchi Mishra, Solutions Architect, Amazon Web Services
- Akshay Karanth, Senior Solutions Architect, Amazon Web Services
- suresh patnam, Principal BDM/ GTM - AI ML, Amazon Web Services
- Ramesh Adabala, Sr Solutions Architect Manager, Amazon
- Thomas Santuccio, Solutions Architect, AWS
ワークショップの内容
VPC Network Access Analyzerを用いて、意図しないネットワーク経路を特定し、ネットワーク設定を修正するところまで実施します。
本講座では、以下の4パターンのラボを実施します。
- Amazon VPC Network Access Analyzerをセットアップし、インターネットへのアクセスを確認する
- AWS Transit Gatewayによるネットワークセグメンテーション
- パス内のセキュリティコントロール (ファイアウォール/NAT-GW など)
- 信頼できるネットワークアクセス
事前準備
現地のセッション会場では、各サービスの概要について軽く説明を受けた後、AWSが事前に用意しているハンズオン用アカウントにログインする必要があります。
なお、現地で用意されたハンズオンアカウントでは、既にCloudFormationにて以下のネットワーク構成がデプロイされています。
1. Amazon VPC Network Access Analyzerをセットアップし、インターネットへのアクセスを確認する
このラボでは、Amazon VPC Network Access Analyzer を使用して、インターネットゲートウェイからアクセスできる環境内のリソースを特定し、それらがネットワークからアクセス可能で設定しているリソースのみに制限されている事を確認します。
2. AWS Transit Gateway によるネットワーク セグメンテーション
このラボでは、初めにカスタムネットワークアクセススコープを作成して、AWS Transit Gateway を介してネットワーク セグメンテーションをチェックし、Prod VPC と Dev VPC が互いに分離されていることを確認します。
3. パス内のセキュリティ コントロール (ファイアウォール/NAT-GW など)
このラボでは、カスタムネットワークアクセススコープを作成して、VPC 内のインスタンスがネットワークファイアウォールを含む検査VPC経由でトラフィックをルーティングするかどうかを確認します。
4. 信頼できるネットワークアクセス
このラボでは、カスタムネットワークアクセス スコープを作成して、次のコンプライアンス要件を検証します。本番インスタンスからインターネットへの送信トラフィックは、ポート443を介してパブリック IP アドレス範囲 55.3.0.0/16 から更新をダウンロードすることのみが許可されます。
最後に
今回のワークショップで、VPC Network Access Analyzerの操作を一通り学ぶ事ができました!
何気に私は初めて触ったサービスでしたが、使用ハードルはとても低く、非常に簡単にネットワーク経路をテストできると感じました。
VPCでは様々なネットワーク形態を仮想的に設定できるため、時には意図しないネットワーク経路を誤って設定してしまう事もあるかもしれません。
通信が意図しないネットワーク経路を通ってしまう事を事前に予防したい場合、VPC Network Access Analyzerを用いて実際のネットワーク経路をテストする事ができるので、皆さんぜひ使ってみてください!
以上、つくぼし(tsukuboshi0755)でした!