記事を読んでいただきありがとうございます。
モブエンジニア(@mob-engineer)です。
モブエンジニアのネットワーク大全というテーマでひとりアドベントカレンダーを生やしてみたので、ネットワーク関連に関してキャッチアップしたことをつらつらとまとめていきたいと思います。
AWSネットワークサービスをキャッチアップしているなかでAmazon VPC Network Access Analyzerという面白そうなサービスを見つけたのでざっくり調査してみたいと思います。
サービス概要
公式ドキュメントには以下の通り示されています。
Network Access Analyzer は、AWS 上のリソースへの意図しないネットワークアクセスを特定する機能です。Network Access Analyzer を使用すると、ネットワークアクセス要件を指定し、指定した要件を満たさない可能性のあるネットワークパスを特定できます。Network Access Analyzer を使用すると、以下のことが可能になります。
ネットワーク セキュリティ体制を理解、検証、改善– Network Access Analyzer を使用すると、セキュリティとコンプライアンスの要件に関連する意図しないネットワーク アクセスを特定し、ネットワーク セキュリティを改善するための手順を実行できます。
コンプライアンスの実証– Network Access Analyzer は、AWS 上のネットワークがコンプライアンス要件を満たしていることを実証するのに役立ちます。
すごくわかりやすく言えば、ネットワーク設定の更新対応で本来インターネット抜けさせたくないサービスがインターネット抜けしている状態を確認するサービスとなります。基本概念として**ネットワークスコープ(どこからどこまで)とExcludePaths(検知対象外のパス)**から成り立っているようです。
実はデフォルトで設定されている
ネットワークマネージャーからNetwork Access Analyzerの設定を見ると分かりますが、AWSからデフォルトで4個設定がなされています。(公式ブログにも記載されています)
設定に関してもJSON形式で表現可能なためレビューも容易な印象があります。
{
"NetworkInsightsAccessScopeId": "nis-0f35dac64230643ad",
"MatchPaths": [
{
"Source": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::NetworkInterface"
]
}
},
"Destination": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
}
]
}
分析対象を管理するNetwork Access Scopeについてもある程度テンプレートも用意されているため、要件に合った設定をイチから作成しなくてもよさそうな印象はあります。
トラフィックタイプについても最低限の設定は行えるようです。
まとめ
ネットワークガバナンスを強化したいと思っている方は活用してみることをおススメします。ただし、VPC Reachability Analyzerと同じくEC2までの通信を監視することは難しいそうなので、EC2の通信が正しく行われているかは別途対策を講じていく必要があると思います。
ざっくりですが最後までお読みいただきありがとうございました。