Amazon Web Services ブログ

Category: Amazon VPC

新機能 – IPv6 専用ワークロードを IPv4 サービスに接続できるようになりました

2022 年 2 月 28 日(米国時間)、Amazon Virtual Private Cloud (VPC) NAT ゲートウェイと Amazon Route 53 の 2 つの新機能を発表しました。これにより、IPv6 専用ワークロードが IPv4 専用サービスと透過的に通信できるようになります。 一部のお客様は、数万台の仮想マシン、コンテナ、またはマイクロサービスが関係する非常に大きなワークロードを実行しています。この実行のために、IPv6 アドレス空間でこれらのワークロードの作業を行えるように設定したとします。

Read More

App Runner の新機能 — Amazon Virtual Private Cloud (VPC) をサポート

AWS App Runner を使用すると、ウェブアプリケーションと API をあらゆるスケールですばやくデプロイできます。ソースコードまたはコンテナイメージから始めることができ、App Runner はアプリケーションのサーバー、ネットワーク、ロードバランシングを含むすべてのインフラストラクチャをすべて管理します。必要に応じ、App Runner でデプロイパイプラインを設定することもできます。 2022 年 2 月 8 日(米国時間)より App Runner では、Amazon Virtual Private Cloud (VPC) でホストされているデータベースやその他のアプリケーションとサービスが通信できるようになります。

Read More

AWS のディザスタリカバリ (DR) アーキテクチャ、パート III: パイロットライトとウォームスタンバイ

このブログはSeth Eliot (Principal Reliability Solutions Architect with AWS Well-Architected)によって執筆された内容を⽇本語化したものです。原⽂はこちらを参照して下さい。 このブログ記事では、 自然災害、技術的な障害、人的な行為などの災害イベントからワークロードを回復できるようにする、さらに2つのアクティブ/パッシブ戦略について学びます。以前、AWS でのディザスタリカバリ (DR) の 4 つの戦略を紹介しました。次に、バックアップと復元の戦略を検討しました。今回は、

Read More

Amazon VPC IP Address Manager による大規模なネットワークアドレス管理と監査

クラウドワークロードとコネクテッドデバイスが急速に増加し続ける中、大規模ネットワークの IP アドレス割り当ての管理、モニタリング、監査は、複雑で時間がかかり、エラーが発生しやすい作業です。従来、ネットワーク管理者は、複数のアカウント、Virtual Private Cloud (VPC)、およびリージョンにまたがるアドレス割り当てを追跡するために、スプレッドシート、自社開発ツール、スクリプトを組み合わせて使用していました。アプリケーション開発チームによって IP アドレスの割り当てが要求された際には、スプレッドシートを手動で更新する必要があり、エラーを回避するために時間と注意が必要です。エラーに気付かないと、アドレスの競合やそれに伴うダウンタイムが発生し、運用上およびビジネス上の深刻な問題を引き起こす恐れがあります。また、これらの更新にかかった時間 (場合によっては数日) によって、新しいアプリケーションのオンボーディングや既存のアプリケーションの拡張が遅れ、開発チームのスピードが低下します。自社開発のツールやスクリプトを最新かつエラーのない状態に保つというニーズにスタッフの時間が費やされ、より戦略的でビジネスに影響を与えるプロジェクトに時間を割けなくなります。 2021 年 12 月 1 日(米国時間)、Amazon VPC IP Address Manager を発表しました。これは、ネットワーク管理者に IP の自動管理ワークフローを提供する新機能です。IPAM を使用すると、ネットワーク管理者は、大規模なネットワークで簡単に IP アドレスの整理、割り当て、モニタリング、監査を行うことができ、管理とモニタリングの負担が軽減され、遅延や意図しないエラーの原因となる手動プロセスが排除されます。

Read More

新機能 – Amazon VPC Network Access Analyzer

組織のネットワーク、クラウドオペレーション、またはセキュリティチームのメンバーであれば、この新機能を気に入っていただけるはずです。新しい Amazon VPC Network Access Analyzerは、意図しないネットワークアクセスにつながるネットワーク設定を特定するのに役立ちます。この後、ご紹介するようにこの新機能によって、個人および組織の俊敏性と柔軟性を維持しながら、セキュリティ体制を改善できる方法を把握できます。エラーが発生しやすく、スケーリングが難しいネットワーク設定を手動でチェックするのとは対照的に、このツールを使用すると、規模や複雑さを問わず AWS ネットワークを分析できます。

Read More

Amazon EC2 生誕 15 周年

15 年前の 8 月 23 日、私は Amazon EC2 ベータ版のリリースについてのブログ記事を書きました。思い起こせば、特徴セット、料金モデル、その他の無数の詳細を詰めるべく取り組んでいたため、かなり長い間、リリースできるかどうかの瀬戸際にありました。リリース日が最終的に決まりました。それは、私が長い間をかけて計画していたメキシコのサンルーカス岬への家族旅行の期間中の日となりました。くじけることなく、私は休暇にノートパソコンを持参しました。文字を入力する際に画面が見えるように、ノートパソコンをタオルで覆わなければなりませんでした。確信は持てませんが、[Publish] (公開) をクリックしたのはプールの近くのラウンジチェアに座っていたときだったと記憶しています! その週の残りの期間はオフラインで過ごしたため、このリリースによってどのくらいの興奮が生まれたのかをまったく知りませんでした。

Read More

Amazon VPC のルーティング強化により、VPC 内のサブネット間のトラフィックが調査可能に

2019 年 12 月以降、Amazon Virtual Private Cloud (VPC)では、すべての入力トラフィック(北-南トラフィック)の特定のネットワークインターフェイスへのルーティングが許可されるようになりました。この機能を使用できる理由は多数あります。たとえば、侵入検出システム(IDS)アプライアンスを使用して着信トラフィックを検査したり、入力トラフィックをファイアウォールにルーティングするために使用します。

Read More

AWS Network Firewallのデプロイモデル

この記事は Deployment models for AWS Network Firewall (記事公開日: 2020 年 11 月 17 日) を翻訳したものです。一部更新・加筆しています。 前書き AWSのサービスと機能は、セキュリティを最優先事項として構築されています。Amazon Virtual Private Cloud(VPC)を使用する際、お客様はネットワークアクセスコントロールリスト (NACL)とセキュリティグループ(SG)を使用してネットワークセキュリティを制御できます。しかし、多くのお客様はディープパケットインスペクション(DPI)やアプリケーションプロトコル検出、ドメイン名フィルタリング、侵入防止システム(IPS)など、それらの範囲を超える要件が求められます。また、大規模なシステムの場合、現在のSGおよびNACLでサポートされているものより多くのルールを必要とします。 このような場合のために、AWS Network Firewallをリリースしました。このサービスは、VPC向けのステートフルなマネージドネットワークファイアウォールおよびIPSサービスです。本サービスは何万ものルールをサポートしています。Network Firewallを初めて知る場合は、こちらの記事を先にご覧ください。Network Firewallの機能や使用例を説明しています。 この記事では、Network Firewallの一般的なユースケースのデプロイモデルに焦点を当てて解説します。

Read More

新しいセキュリティグループルール ID を使用してセキュリティグループルールを簡単に管理する

AWS では、基盤となる IT インフラストラクチャではなく、お客様のビジネスに集中できるよう、精力的にイノベーションを起こしています。私たちは、新しいサービスや主要な機能をリリースすることがあります。私たちは、お客様の仕事を楽にするために、細部に注力することがあります。 本日、違いを生み出すこれらの細部の 1 つである VPC セキュリティグループルール ID を発表します。 セキュリティグループは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Relational Database Service (RDS) データベースなど、クラウドリソースの仮想ファイアウォールとして機能します。これは入出力ネットワークトラフィックを制御します。セキュリティグループは、セキュリティグループルール、プロトコル、送信元、または送信先 IP アドレスとポート番号の組み合わせ、およびオプションの説明で構成されています。 AWS Command Line Interface (CLI) または API を使用してセキュリティグループルールを変更する場合は、ルールを識別するためにこれらの要素をすべて指定する必要があります。これにより、入力や読み込みが面倒でエラーが発生しやすい長い CLI コマンドが生成されます。以下に例を示します。 aws ec2 revoke-security-group-egress \ –group-id sg-0xxx6 \ –ip-permissions IpProtocol=tcp, FromPort=22, ToPort=22, IpRanges='[{CidrIp=192.168.0.0/0}, {84.156.0.0/0}]’ 新機能 セキュリティグループルール ID は、セキュリティグループルールのための一意の識別子です。セキュリティグループにルールを追加すると、これらの識別子が自動的に作成され、セキュリティグループルールに追加されます。セキュリティグループ ID は […]

Read More

Amazon VPC 向け Amazon Route 53 Resolver DNS Firewall の使用を開始する方法

ネットワーク内でアウトバウンド接続をする際には、通常、DNS ルックアップから始めます。セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、AWS ネットワークファイアウォールなどの AWS サービスを使うと、Amazon Virtual Private Cloud (VPC) のリソースとインターネットサービスが不必要に直接通信しないようにすることができます。これらの AWS サービスはネットワークトラフィックをフィルタリングしますが、パブリック DNS レコード、Amazon Virtual Private Cloud (VPC) 固有の DNS 名、および Amazon Route 53 プライベートホストゾーンに対する DNS クエリに自動的に応答している Amazon Route 53 Resolver に向けたアウトバウンド DNS リクエストはブロックしません。 DNS 漏洩により、DNS クエリを介して犯罪者が管理するドメインにデータが流出する可能性があります。例えば、犯罪者がドメイン「example.com」を管理しており、「sensitive-data」を流出させたい場合、VPC 内の犯罪者が侵入しているインスタンスから「sensitive-data.example.com」の DNS ルックアップを発行できます。これを防ぎ、不正行為による DNS ルックアップをフィルタリングするために、従来は各自が DNS サーバーを操作する手間が必要でした。 こういった DNS レベルの脅威を防ぐことができる Amazon Route 53 Resolver DNS Firewall (DNS […]

Read More