投稿日: Dec 1, 2021
Amazon VPC Network Access Analyzerは、AWS上のリソースへの意図しないネットワークアクセスの特定に有効な新しい特徴があります。Network Access Analyzer を使用すると、 Virtual Private Cloud (VPC) リソースのネットワークアクセスが、セキュリティやコンプライアンスのガイドラインを満たしているかどうかを検証することができます。Network Access Analyzer を使用すると、クラウドのセキュリティ体制を評価し、改善点を特定することができます。さらに、Network Access Analyzer を使用することで、ネットワークが特定の規制要件を満たしていることを簡単に実証することができます。
AWS の責任共有モデルの一環として、ユーザーは、AWS 上のネットワークが、意図しないネットワークアクセスをブロックするための適切なコントロールで構築されていることを確認する必要があります。例えば、「データベースはインターネットからアクセスしてはならない」、「アプリケーションサーバは信頼できるオンプレミスのIPレンジにのみポート443でTCPトラフィックを送信できる」、「本番用VPCは開発用VPCからアクセスしてはならない 」などです。 Network Access Analyzerでは、そのような要件をシンプルかつ正確な仕様でキャプチャすることを許可しています。自動推論により、Network Access Analyzer は、定義した要件を満たしていない AWS 環境のネットワークパスを特定します。IPアドレス範囲、ポート範囲、トラフィックプロトコル、AWSリソースID、AWSリソースグループ、およびインターネットゲートウェイや NAT ゲートウェイなどのリソースタイプの条件から、ネットワークアクセス要件の送信元と宛先を特定できます。このようにして、ネットワークの構成方法に関係なく、AWS 環境全体のネットワークアクセスを簡単に管理することができます。
開始するには、AWS マネジメントコンソールにアクセスし、Network Access Analyzer で Amazon が作成したネットワークアクセススコープの1つを使用してネットワークを評価します。AWS CLI、AWS SDK、または AWS マネジメントコンソールを使用して、独自の Network Access Scopes を定義し、ネットワークを分析することもできます。
Amazon VPC Network Access Analyzer は、通常、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、アフリカ (ケープタウン)、アジアパシフィック (香港)、アジアパシフィック (ムンバイ)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、カナダ (中部)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (ミラノ)、欧州 (パリ)、欧州 (ストックホルム)、南米 (サンパウロ)、および 中東 (バーレーン) の各 AWS リージョンでご利用いただけます。
詳細はこちら、Network Access Analyzer の Amazon VPC ドキュメント とブログ記事をご覧ください。Network Access Analyzer の料金を表示するには、Amazon VPC 料金をご覧ください。