[レポート] Traffic Mirroringによるネットワークの異常検出 #MKT203 #reinvent

こんにちは、大前です。キーノートで様々な新サービスが発表され盛り上がっていますね。

本記事は、「Detect network and security anomalies with Traffic Mirroring」のセッションレポートになります。

概要

スピーカー

James Carroll - Category Leader, Amazon Web Services

Dan McDaniel - Chief Architect, Wizards of the Coast

原題

Detect network and security anomalies with Traffic Mirroring

概要

Traffic Mirroring is a new Amazon Virtual Private Cloud (Amazon VPC) feature that allows customers to gain insight into the network traffic across their Amazon VPC infrastructure for content inspection and threat monitoring. In this session, we discuss how to integrate third-party solutions from AWS Marketplace to simplify and optimize Traffic Mirroring for your network security and monitoring appliances. Additionally, a representative from Wizards of the Coast, a popular gaming publisher, talks about how the company uses solutions from AWS Marketplace to implement compliance and security controls, analyze traffic patterns, and meet compliance requirements.

概要(機械翻訳)

トラフィックミラーリングは、新しいAmazon Virtual Private Cloud(Amazon VPC)機能です。これにより、顧客は、コンテンツ検査と脅威監視のために、Amazon VPCインフラストラクチャ全体のネットワークトラフィックを把握できます。 このセッションでは、AWS Marketplaceのサードパーティソリューションを統合して、ネットワークセキュリティおよびモニタリングアプライアンスのトラフィックミラーリングを簡素化および最適化する方法について説明します。 さらに、人気のゲームパブリッシャーであるWizards of the Coastの代表者は、コンプライアンスとセキュリティ制御の実装、トラフィックパターンの分析、コンプライアンス要件を満たすためにAWS Marketplaceのソリューションをどのように使用するかについて語っています。

レポート

VPC の新機能である Traffic Mirroring についてのセッションとなります。

What Is Traffic Mirroring?

Traffic Mirroring の概要を説明をしたのち、サードパーティツールと組み合わせた事例を聞くことが出来ました。

Traffic Mirroring とは

そもそもなぜこの機能は求められていたのか?

  • ログでは解明できない問題の本質的な原因究明に繋がり、迅速な問題の修正ができるようになる
  • トラフィックの可視化が出来るようになることで、セキュリティに関する意思決定などをより正確な情報に基づいて行うことができる

実際に、パケットレベルの情報が必要となる業界は多いそうで、私自身その世界をあまり知らないため驚きました。

この機能のおかげで・・・

  • 今まではエージェントをわざわざ入れる必要があったが、不要となる
  • Elastic Network Interface レベルでのパケットキャプチャが可能となる
  • 多くのツールと連携し幅広い監視方法を採用できる

Traffic Mirroring の3つの要素

  • ターゲット
    • ミラーリングされるトラフィックの行き先
  • フィルター
    • セッションにコピーされるトラフィックを決めるためのルール
  • セッション
    • フィルターを使用してソースからターゲットへのトラフィックミラーリングを記述するエンティティ

Targets

ターゲットは ENI かロードバランサー

フィルター

図にあるように、インバウンドは記録してアウトバウンドは記録しない、という設定が可能

パケットのフォーマットは以下の通り。

パケットが 8,946 bytes を超える場合、切り詰められてしまうそうなので注意です。

セッション

セッションはソースからターゲットへの情報を保持するエンティティ

各トラフィックは、3つのセッションに同時にミラーリングすることができる

下図では、1つのトラフィックを「APN Partners」「Build your own analyzer」「Use open source IDS/IPS tools」にミラーリングしている例を示しています。

Traffic Mirroring で出来ることがよく理解できる図だと思いました。

ミラーリングしたトラフィックは、サードパーティツールと連携することも出来ます。

非常に多くのパートナー企業が存在するそうなので、様々なソフトウェアを目的に合わせて柔軟に選べるのは良さそうですね。

Wizards of the Coast の事例

「Traffic Mirroring を使って顧客が何をしようとしているかは....顧客に話してもらえば良いんだよ!!」的なノリで Wizards of the Coast の Chief Architect である Dan McDaniel 氏にバトンタッチ。

ノリが日本にはない感じで面白いです。

知っている方も多いと思いますが、Wizards of the Coast はかの有名な Magic the Gathering をはじめとしたゲームを手がけている会社です。

(セッションを申し込んだ時はスピーカーの会社名まで見ていなかったためビックリしました。。)

バリバリ Docker や k8s を使って環境を立てているとの事。凄い

困っていた事

  • フェイルオーバー実施の際、一時的に複数環境が同時に立ち上がるため、サポートツールのエージェントが複数実行されてしまい余計なコストがかかっていた
  • 管理の手間

加えて、エンドユーザーに最高の体験を届けるためには環境で何が起こっているのかを正確に知る必要があ理、パケットレベルの情報を可視化する必要性があったとのこと。

上記の様な課題を抱えていたこともあり、Traffic Mirroring を使ってみたそうです。

A/Bテストを実施するために、Traffic Mirroring で複数環境へのトラフィック分岐したという話が目から鱗でした。確かにそういった使い方も出来ますね。

サードパーティツールとして ExtraHop を採用したそうです。

結果として

  • CI/CD ワークロードを中断することなく何が起きているのか把握できる様になった
  • 事故に対する対処がより機敏になった

終わりに

VPC Traffic Mirroring の機能をあまり理解できていませんでしたが、本セッションで基本的な概念から、具体的な導入事例まで押さえる事が出来ました!

「会社/サービスのコンプライアンス的にパケットレベルの情報が必要な場合にフィットする機能」という考えはしっかりと押さえて起きたいと思います。

 

以上、AWS 事業本部の大前でした。