Amazon Web Services ブログ

Category: Amazon VPC

AWS Network Firewallのデプロイモデル

この記事は Deployment models for AWS Network Firewall (記事公開日: 2020 年 11 月 17 日) を翻訳したものです。一部更新・加筆しています。 前書き AWSのサービスと機能は、セキュリティを最優先事項として構築されています。Amazon Virtual Private Cloud(VPC)を使用する際、お客様はネットワークアクセスコントロールリスト (NACL)とセキュリティグループ(SG)を使用してネットワークセキュリティを制御できます。しかし、多くのお客様はディープパケットインスペクション(DPI)やアプリケーションプロトコル検出、ドメイン名フィルタリング、侵入防止システム(IPS)など、それらの範囲を超える要件が求められます。また、大規模なシステムの場合、現在のSGおよびNACLでサポートされているものより多くのルールを必要とします。 このような場合のために、AWS Network Firewallをリリースしました。このサービスは、VPC向けのステートフルなマネージドネットワークファイアウォールおよびIPSサービスです。本サービスは何万ものルールをサポートしています。Network Firewallを初めて知る場合は、こちらの記事を先にご覧ください。Network Firewallの機能や使用例を説明しています。 この記事では、Network Firewallの一般的なユースケースのデプロイモデルに焦点を当てて解説します。

Read More

新しいセキュリティグループルール ID を使用してセキュリティグループルールを簡単に管理する

AWS では、基盤となる IT インフラストラクチャではなく、お客様のビジネスに集中できるよう、精力的にイノベーションを起こしています。私たちは、新しいサービスや主要な機能をリリースすることがあります。私たちは、お客様の仕事を楽にするために、細部に注力することがあります。 本日、違いを生み出すこれらの細部の 1 つである VPC セキュリティグループルール ID を発表します。 セキュリティグループは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Relational Database Service (RDS) データベースなど、クラウドリソースの仮想ファイアウォールとして機能します。これは入出力ネットワークトラフィックを制御します。セキュリティグループは、セキュリティグループルール、プロトコル、送信元、または送信先 IP アドレスとポート番号の組み合わせ、およびオプションの説明で構成されています。 AWS Command Line Interface (CLI) または API を使用してセキュリティグループルールを変更する場合は、ルールを識別するためにこれらの要素をすべて指定する必要があります。これにより、入力や読み込みが面倒でエラーが発生しやすい長い CLI コマンドが生成されます。以下に例を示します。 aws ec2 revoke-security-group-egress \ –group-id sg-0xxx6 \ –ip-permissions IpProtocol=tcp, FromPort=22, ToPort=22, IpRanges='[{CidrIp=192.168.0.0/0}, {84.156.0.0/0}]’ 新機能 セキュリティグループルール ID は、セキュリティグループルールのための一意の識別子です。セキュリティグループにルールを追加すると、これらの識別子が自動的に作成され、セキュリティグループルールに追加されます。セキュリティグループ ID は […]

Read More

Amazon VPC 向け Amazon Route 53 Resolver DNS Firewall の使用を開始する方法

ネットワーク内でアウトバウンド接続をする際には、通常、DNS ルックアップから始めます。セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、AWS ネットワークファイアウォールなどの AWS サービスを使うと、Amazon Virtual Private Cloud (VPC) のリソースとインターネットサービスが不必要に直接通信しないようにすることができます。これらの AWS サービスはネットワークトラフィックをフィルタリングしますが、パブリック DNS レコード、Amazon Virtual Private Cloud (VPC) 固有の DNS 名、および Amazon Route 53 プライベートホストゾーンに対する DNS クエリに自動的に応答している Amazon Route 53 Resolver に向けたアウトバウンド DNS リクエストはブロックしません。 DNS 漏洩により、DNS クエリを介して犯罪者が管理するドメインにデータが流出する可能性があります。例えば、犯罪者がドメイン「example.com」を管理しており、「sensitive-data」を流出させたい場合、VPC 内の犯罪者が侵入しているインスタンスから「sensitive-data.example.com」の DNS ルックアップを発行できます。これを防ぎ、不正行為による DNS ルックアップをフィルタリングするために、従来は各自が DNS サーバーを操作する手間が必要でした。 こういった DNS レベルの脅威を防ぐことができる Amazon Route 53 Resolver DNS Firewall (DNS […]

Read More

新機能 – VPC Reachability Analyzer

Amazon Virtual Private Cloud (VPC) を使用すると、お客様は、論理的に分離された専用の仮想ネットワークを、AWS クラウド上で起動できます。クラウド上でお客様のフットプリントが拡大し、デプロイされるネットワークアーキテクチャの複雑さも増していく中、誤った設定が原因で発生するネットワーク接続の問題は、その解決に時間がかかるようになっています。今回、当社では、ネットワーク診断ツールである VPC Reachability Analyzer を発表できる運びとなりました。このツールでは、VPC 内の 2 つのエンドポイント間、または複数の VPC 間で、通信の到達性に関する問題を解決できます。 ネットワークが目的どおりに設定されているかを確認 Reachability Analyzer のユーザーは、仮想ネットワーク環境を全体的に制御できます。独自の IP アドレス範囲の選択、サブネットの作成、またルートテーブルやネットワークゲートウェイの設定が可能です。また、VPC のネットワーク設定のカスタマイズも簡単です。例えば、ウェブサーバー用にパブリックサブネットを作成する際、インターネットへのアクセスに、インターネットゲートウェイを使用するように構成できます。データベースやアプリケーションサーバーなど、厳しいセキュリティが必要なバックエンドシステムは、インターネットにアクセスできないプライベートサブネットに配置できます。セキュリティグループや、ネットワークアクセスコントロールリスト (ACL) など、複数のセキュリティレイヤーを使用することで、各サブネットのエンティティへのアクセスを、プロトコル、IP アドレス、ポート番号によって制御できます。 また、VPC ピアリング、もしくは AWS Transit Gateway を経由させながら、リージョン全体またはグローバルなネットワーク接続の中で複数の VPC を組み合わせれば、トラフィックを非公開にルーティングさせられます。さらに、サイトを AWS アカウントに接続して、安全な通信を行うために、VPN Gateway を使用することもできます。AWS Lambda や Amazon S3 など、VPC 外に配置された多くの AWS のサービスでは、VPC エンドポイントや AWS PrivateLink を VPC 内のエンティティとしてサポートしており、それらのエンティティとは、プライベートな通信が可能です。 このような豊富なコントロールと機能セットがあると、接続の問題を引き起こし得るような意図しない構成を行ってしまうことも、珍しいことではありません。今回リリースされた VPC Reachability […]

Read More

[AWS Black Belt Online Seminar] Amazon VPC 資料及び QA 公開

先日 (2020/10/21) 開催しました AWS Black Belt Online Seminar「Amazon VPC 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20201021 AWS Black Belt Online Seminar Amazon VPC AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. オンプレミス設計ではいくつかのネットワークを使い分けていました。1. サービス用NW 2. バッチ用NW 3. 管理用NW。Linux であれば bond0, bond1, bond2 と複数のデバイスを割り当てていました。分けていた理由は NW ACL 設定を分けるため (バッチ用 NW と管理用NWのみ SSH 許可 かつ SSH デーモンが Listen するのも対象I/Fのみ、など) それぞれ N/W 帯域を使い切ってしまったときに影響を局所化するため、でした。Amazon VPC では、どのように設計するのがよいのか教えていただけますか?オンプレミス比較でのドキュメント、ホワイトペーパー、ブログなどあれば紹介いただけると助かります。 A. クラウドコンピューティングのためのアーキテクチャ・ベストプラクティス はいかがでしょうか。オンプレミスの考え方をそのまま踏襲してしまうと余計な手間やコストを生んでしまうので Well-Architectedフレームワークを利用してよりよいアーキテクチャを作ることをおすすめいたします。 […]

Read More

[発表] Lambda 関数が VPC 環境で改善されます

本投稿は AWS サーバーレス アプリケーションのプリンシパルデベロッパーアドボケートであるChris Munnsによる寄稿です。 元の投稿からの更新情報: 2019年11月28日(PST):  次のリージョンに対して、元の投稿に記載されている改善を完全に展開しました:中東(バーレーン)。 2019年11月25日(PST):次のリージョン、米国東部(バージニア北部)、米国西部(オレゴン)、カナダ(中央)、EU(ロンドン)、EU(ストックホルム)、およびアジア太平洋(香港)に対して、これらのリージョンのすべてのAWSアカウントには、元の投稿で概説した改善を展開しました。 2019年11月6日(PST):次のリージョン、米国西部(北カリフォルニア)、EU(アイルランド)、EU(パリ)、アジア太平洋(ムンバイ)、アジア太平洋(ソウル)、アジア太平洋(シンガポール)、アジア太平洋(シドニー)、南アメリカ(サンパウロ)に対して、これらのリージョンのすべてのAWSアカウントには、元の投稿で概説した改善を展開しました。 2019年9月27日(PST):米国東部(オハイオ)、欧州(フランクフルト)、およびアジア太平洋(東京)の地域へ完全に展開しました。これらのリージョンのすべてのAWSアカウントには、元の投稿で概説した改善を展開しました。 既知の問題(2019年10月4日(PST)に更新): HashiCorp Terraformを使用している場合、サブネット、セキュリティグループ、VPCなどのVPCリソースは、この新しいモデルでのENIの動作方法の変更により破棄に失敗する可能性があります。この問題を解決するための手順と、詳細についてはこちらをご覧ください。 2019年9月3日(PST)の元の投稿: AWS Lambda 関数が Amazon VPC ネットワークでどのように機能するかが大幅に改善されたことをお知らせします。 2019年9月3日(PST)のローンチ機能により、関数の起動パフォーマンスが劇的に改善され、Elastic Network Interface がより効率的に使用されるようになります。 これらの改善は、すべての既存および新しい VPC 接続の関数に追加費用なしで展開されています。 ロールアウトは 2019年9月3日(PST)から始まり、すべてのリージョンで今後数か月にわたって徐々に展開されます。 Lambda は2016年2月に初めて VPC をサポートし、AWS Direct Connect リンクを使用して VPC またはオンプレミスシステムのリソースにアクセスできるようになりました。 それ以来、お客様が VPC 接続を広く使用して、さまざまなサービスにアクセスしているのを見てきました。 Amazon RDS などのリレーショナルデータベース Redis 用 Amazon ElastiCache または Amazon Elasticsearch Service などのデータストア Amazon EC2 または […]

Read More

[AWS Black Belt Online Seminar] Amazon VPC Advanced 資料及び QA 公開

先日 (2019/4/17) 開催しました AWS Black Belt Online Seminar「Amazon VPC Advanced」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20190417 AWS Black Belt Online Seminar Amazon VPC Advanced AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. Transit Gatewayが使えるようになった今、Virtual Gatewayを用いたVPN・DXを敢えて採用するようなケース・利点はあるものでしょうか A. VPC間で通信しない、従来通りのユースケースでは引き続き有効です。Transit Gatewayは機能が多い代わりに通常のVPN/DXとVGWを使うものよりコストがかかりますので、比較検討することが重要になります。https://aws.amazon.com/jp/transit-gateway/pricing/ Q. VPC Sharing にはAWS Organizationsが必要とのことなのですが、一括請求機能の利用だけで要件を満たすのでしょうか? A. いいえ。一括請求機能では要件を満たしません。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-sharing.html#vpc-share-prerequisites より — 共有 VPC の前提条件 組織のマスターアカウントで、リソース共有を有効にしておく必要があります。リソース共有の有効化の詳細については、AWS RAM User Guide の「AWS Organizations での共有の有効化」を参照してください。 — Q. P.39 TransitGatewayのVPC-CIDRとProduction, TestingといったVPC-CIDRは、従来のVPC運用と同じように分けて考える認識であっていますか?TransitGatewayのVPC-CIDRを広めに取って、その中で個々のVPCを定義しない認識であっていますか? […]

Read More

Amazon QuickSightのプライベートVPC内のデータアクセスの設定方法について

はじめに 今回の記事では、先日一般公開された「Amazon QuickSightのプライベートVPC内のデータアクセス」の設定方法をご紹介します。この設定を行うことによって、Amazon QuckSight(以下、QuickSight)からプライベートサブネット内のAmazon RDS(以下、RDS)のデータベース、Amazon EC2内のデータベースへのアクセス、また AWS Direct Connect(以下、Direct Connect)を経由したオンプレミスのデータベースにアクセスして分析ダッシュボード、レポートを作成することが可能です。 なお本稿の情報は、2018年6月22日時点の以下のAWS公式ドキュメントをベースにしておりますが、最新の情報は設定前にご確認ください。 Amazon QuickSight: Amazon VPCを操作する 接続構成イメージ 以下で説明する手順を実行すると以下のようなイメージで構成されます。VPC内にあるプライベートサブネットの中にQuickSightアクセス用のセキュリティグループを定義することで、アタッチされるENI(Elastic Network Interface)経由でQuickSightが同一VPC内のデータベース(本例ではRDS)のあるプライベートサブネットに接続することが可能です。 図1. 構成イメージ(プライベートVPC内接続) また上記のように、QuickSightアクセス用のセキュリティグループを構成することで、オンプレミス環境にあるデータベースに対しても、Direct Connect経由でアクセス可能(オンプレミスデータベースへのルーティングが可能である前提)になります。 図2. 構成メージ(オンプレミスへの接続)   設定手順概要 1.QuickSight用のセキュリティグループ作成 AWSのマネージメントコンソールから「VPC → セキュリティグループ」を選択し、「セキュリティグループの作成」ボタンを押し、QuickSight用ENIのセキュリティグループを作成します。 図3. QuickSightアクセス用のセキュリティグループ作成   2.作成したQuickSightアクセス用のセキュリティグループのインバウンドルール設定 ここで前の手順で作成したQuickSightアクセス用のセキュリティグループの「インバウンドルール」を設定します。何故、インバウンドルールを設定するかというと以下のドキュメントの引用のように、QuickSight用のENI(ネットワークインターフェイス)にアタッチされているセキュリティグループの通信はステートフルではないため、本例のRDSからの戻りの通信に対する受信ルールを追加する必要があるのです。 引用:Amazon QuickSight: Amazon VPCを操作する 「ただし、Amazon QuickSight ネットワークインターフェイスにアタッチされているセキュリティグループはステートフルではありません。つまり、送信先ホストからの戻りトラフィックは自動的に許可されません。この場合、ネットワークインターフェイスセキュリティグループに Egress ルールを追加しても機能しません。したがって、明示的に承認するために、受信ルールをセキュリティグループに追加する必要があります。」 図4. QuickSightアクセス用のセキュリティグループ設定上のポイント よって、以下の様にQuickSight用のセキュリティグループのインバウンドルールを以下の様に設定します。 図5. QuickSightアクセス用のセキュリティグループのインバウンドルールの設定例   3.RDSのセキュリティグループの設定 次にRDSのセキュリティグループにQuickSightのセキュリティグループ経由のアクセスを許可する設定を行います。 AWSのマネージメントコンソールから「RDS → インスタンス」を選択し、該当のインスタンス名のリンクをクリックして、インスタンス詳細画面を表示します。 […]

Read More

[AWS Black Belt Online Seminar] Amazon VPC 資料及び QA 公開

こんにちは、マーケティングの鬼形です。 先日(2018/4/18) 開催された AWS Black Belt Online Seminar「Amazon VPC」の資料を公開いたしました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20180418 AWS Black Belt Online Seminar Amazon VPC PDF 録画(オンデマンドセミナー) Q1. (自己紹介の質問) Market Place の何が好きか教えていただけるとうれしいです。 A. Network 担当ということで、様々なルータやファイアーウォール製品を時間単位で複数お試しができるので、検証が簡単にできるのが好きなところです。 Q2. 別々の VPC では物理的にネットワークが分離する認識で合っていますか。 A. 別々の VPC は論理的にネットワークが分離されます。 Q3. VPC を分ける単位のベストプラクティスはありますでしょうか。 A. ページ 76,77 でいくつか例をご紹介させていただきました。よりよいベストプラクティスをお探しの場合は是非 Well-Architectedをご参照ください。 Q4. 異なるリージョンのAZを、1つのリージョンから指定することはできますか。 A. リージョンの内部にアベイラビリティゾーン(AZ)が存在するので、指定することはできません。それぞれのリージョンから AZ を選択してください。 Q5. (サブネット作成時の)ネームタグの命名規則について推奨はありますか。 A. 特に推奨はありませんが、わかりやすいように私は […]

Read More