Go to Qiita Advent Calendar 2024 Top
LoginSignup
6
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Regryp

AWSにおけるアウトバウンド通信の制御方法

Posted at

はじめに

AWSにおけるアウトバウンド通信の制御について、選択肢がどのようなものがあるのかを語っていきます。

想定するケース

以下のようなケースを想定します。
IntenetGatewayがVPCにアタッチされており、NATGW経由でインスタンスがインターネット方向にアウトバウンド通信をおこなうケースです。
スクリーンショット 2023-10-29 21.47.09.png

想定するリスク

このケースに置いて想定するリスクは以下です。
・インスタンスがマルウェア等に感染し、攻撃の踏み台にされる。
・利用者が不特定多数の接続先に接続可能であり、情報漏洩やウイルス感染のリスクがある

想定される対策

SG、NACLによる制御

これは言わずもがなの対策ですが、SG、NACLにより、接続可能なIPアドレスを明示的に許可、拒否すべきものをNACLにて遮断しておく対策です。とはいえ、IPアドレスベースで制御不可能なケースが多く、根本的な対策となるかは状況次第です。
スクリーンショット 2023-10-29 22.01.48.png

ホスト型セキュリティ対策ソフトの導入

こちらは説明するまでもないかもしれませんが、接続元となるホスト側にセキュリティ対策ソフトを導入し、アウトバウンド通信の検査を行うパターンです。割りとオーソドックスな方法かもしれませんね。

プロキシの導入

プロキシサーバを中継として導入し、接続先を管理する方法です。FQDNベースで接続先をコントロールできますし、接続先もログとして残すことができるので、アウトバウンド通信を厳格に管理したい場合によいでしょう。とはいえ、EC2が増えるので、管理コストや拡張性が課題となります。
スクリーンショット 2023-10-29 22.04.10.png

DNSFirewallの導入

Route53DNSFirewallを利用するケースです。
通常VPC上で名前解決を実施する場合、Route53Resolverに対して問い合わせが行われますが、そこで、特定のドメインについて許可、拒否などのルールを設定することで名前解決による通信制御を行う事が可能です。また、既知のマルウェアやC&Cサーバの通信先のマネージドルールも用意されており、該当の名前解決をブロックすることが可能です。ただし、IPアドレスが明示的に指定されている場合は、本対策では防ぎようがありません。
スクリーンショット 2023-10-29 22.09.33.png

NetworkFirewallの導入

NetworkFirewallを導入するケースです。IPS、IDS等の機能やシグニチャベースの評価、IPアドレスの制御、送信先ドメインの制御など多数の機能を持ち合わせています。とはいえ他の対策に比べて費用は高くつきます。
スクリーンショット 2023-10-29 22.17.34.png

比較

選択肢を比較してみる以下の通りになります。

# 導入サービス メリット デメリット
1 SG、NACL 追加のコストがかからない、IPアドレスベースであれば、確実に制御可能 IPアドレスで制御できない場合意味をなさない
2 ホスト型セキュリティ対策ソフトの導入 比較的簡単に導入可能、マルウェア対策にもなる 追加のコストがかかる、製品によって制御できる範囲がバラバラ、管理が手間 
3 プロキシの導入 URLベースでの制御が可能 OSの管理コストがかかる、拡張性や可用性を担保する必要がある、インスタンスタイプによってはコストが高い 
4 DNS Firewall 比較的簡単に導入可能、マルウェア対策にもなる、URLベースでの制御が可能、コストが安い IPアドレスには対応していない 
5 Network Firewall IDS機能や、IPアドレス、ドメインでの制御も可能で高機能 コストが比較的高い

まとめ、結局どれを選べばよいか

まず考えるべきは、どこまでのリスクが発生しうるかかと思います。
例えば、マルウェアに感染するようなケースが想定されるのかというところです。
送信元がコンテナであれば、ReadOnlyとすることで、コンテナの書き込みを拒否することで対策が可能かもしれません。また、EC2であれば、マルウェアが混入しないような使い方(特定の宛先に送信しかしていないなど)をしているケースもあるかもしれません。厳格な権限制御をOS側で導入することも手段の一つです。
このケースにおいては、SGや、NACLなどの標準的な対策でも良いのではないかと思います。
必要に応じてホスト型のセキュリティ対策ソフトと組み合わせるのがよいでしょう。
その他、FQDNのみで制御可能なのであれば、安価なDNSFirewallがおすすめです。
このサービスの利用料は非常に安く、かつマネージドルールにおいて、既知のマルウェア等の通信先をブロックする機能も有しているため、利用を検討するのが良いでしょう。
NetoworkFirewallは非常に高機能ですが、同時に効果なので、IDS等の導入が本当に必要なのか、リスクと費用を考慮し、リスクが許容できないものであれ場導入すべきです。
様々な対策がAWS上では可能ですが、かならず、コストがつきまといます。過剰な対策となっていないかを考慮し、必要な対策を見極めましょう。

6
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
6
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?