LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@garakutayama(@ garakutayama)

AWS ANS に向けての勉強 2. VPC

Last updated at Posted at 2021-01-10

参考

注意

基本的なところは割愛

概要

  • AWS上にプライベートネットワーク空間を構築
  • 論理的なネットワーク分離が可能
  • ネットワーク環境のコントロールが可能
  • 複数のコネクティビティオプションが選択可能

コンポーネント

VPCの構築

サブネットで利用できないIPアドレス(/24の例)

仮想ルータとルートテーブルの関係

パブリックサブネットとプライベートサブネット

セキュリティグループとNACL

セキュリティグループ=ステートフルFirewall

Network ACLs=ステートレスFirewall

  • ステートレスなので戻りの一時ポート(1024~65535など)をoutboundに設定しなければならない

セキュリティコントロール

ネットワークACLとセキュリティグループ

カスタマーマネージドプレフィックスリスト

  • CIDRのプレフィックス管理
  • SG、サブネット、Transit Gatewayのルーティングテーブル で利用可能
  • RAMで他アカウントから参照可能
  • バージョン管理も可能

Ingress Routing

  • VPCに出入りする全トラフィックを特定のEC2を通過させられる=IDS/IPS、Firewallによる監視・通信制御

サブネット内のDHCP

  • プライベートIPを固定した場合は、DHCP経由で街頭のIPが割り当てられる
    • EC2インスタンスのOS上のNIC設定はDHCP)

Route53 resolver(Amazon Provided DNS)

  • VPC内のEC2からのみ参照可能
    • VPNや専用線経由で参照する場合、Route53 Resolver for Hybridsで解決

DNS機能の有効かとホストへのDNS名割り当て

Amazon Time Sync Service

  • 169.254.169.123をNTPサーバに設定
    • リンクローカルアドレスなのでインターネットへのアクセスは不要

IPv6への対応

  • プライベートにするにはEngress-Only Internet Gatewayを利用

オンプレミスとのハイブリット構成

Site-to-Site VPN構成

  • ルーティングは静的と動的

ClientVPN構成

Direct Connect構成

  • ルーティングはBGPのみ

VPCからオンプレミスへのルート設定

インターネットVPN vs 専用線

Transit GAteway



VPCの設計

ポイント

AWSクラウドとVPC

VPC Endpoint

Gateway型

Private Link型

Gateway型 Private Link型 比較

Private Linkはオンプレミスにネイティブ対応

NATゲートウェイ

VPCの接続バリエーション

Transit Gateway と PrivateLink はスケーラブル

VPCの運用

VPC Flow Log

VPC Traffic Mirroring

  • ユースケース
    • 脅威検出
    • コンテンツモニタリング
    • 問題判別
  • VPC Flow Logには含まれないパケットの内容の取得が可能


GuardDuty


制限

  • AWS リージョンごとに、AWS アカウントあたりデフォルト以外の Amazon VPC を最大 5 つ利用できます
  • Amazon VPC ごとに、最大 4 つのセカンダリ IP アドレス範囲を追加できます
  • Amazon VPC ごとに 200 までのサブネットを作成できます
  • AWS リージョンごとに、AWS アカウントあたり Amazon VPC Elastic IP アドレスを最大 5 つ利用できます

その他

VPC Reachability Analyzer

  • VPC 内の 2 つのエンドポイント間、または複数の VPC 間で、通信の到達性に関する問題を分析
  • VPC マネジメントコンソールの左側のナビゲーションから利用

SIEM on Amazon ES

  • SIEM は Security Information and Event Management の略で、セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、相関分析によって脅威検出とインシデントレスポンスをサポートするためのソリューション
  • ユースケース
    • Amazon GuardDuty を利用して、悪意のあるアクティビティや不正な動作を継続的にモニタリングしているが、検出した脅威について、原因分析のためにイベント発生元サービスのログを調べることが負担になっている
    • 複数のログからインシデントに関連する一連のログだけを抽出して相関分析をしたい
    • AWS CloudTrail を利用して、ユーザーアクティビティと API 使用状況の追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい
  • 対応している AWS サービスは、AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC) Flow Logs、Amazon GuardDuty、AWS WAF、Elastic Load Balancing、Amazon CloudFront、Amazon Simple Storage Service (Amazon S3)、Amazon Route 53 Resolver
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?