SlideShare una empresa de Scribd logo
1 de 28
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS 公式 Webinar
https://amzn.to/JPWebinar
過去資料
https://amzn.to/JPArchive
Yosuke Okumura
Network Solutions Architect
2021/10
AWS Network Firewall 応⽤編1
新機能︓MSRの活⽤/トラフィックを集約して監査する
AWS Black Belt Online Seminar
© 2021, Amazon Web Services, Inc. or its Affiliates.
内容についての注意点
o 本資料では2021年10⽉時点のサービス内容および価格についてご説明しています。
最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
o 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に
相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
o 価格は税抜表記となっています。
⽇本居住者のお客様には別途消費税をご請求させていただきます。
o AWS does not offer binding price quotes. AWS pricing is publicly available and is
subject to change in accordance with the AWS Customer Agreement available at
http://aws.amazon.com/agreement/. Any pricing information included in this
document is provided only as an estimate of usage charges for AWS services based
on certain information that you have provided. Monthly charges will be based on your
actual use of AWS services, and may vary from the estimates provided.
2
© 2021, Amazon Web Services, Inc. or its Affiliates.
⾃⼰紹介
名前︓ 奥村 洋介(おくむら ようすけ)
ポジション︓ネットワークソリューションアーキテクト
経歴︓ 国内のISP、通信キャリアで10年ほどネットワークエンジニア
を経験後、AWSに⼊社
好きなAWSサービス︓
AWS Transit Gateway, AWS Network Firewall
3
© 2021, Amazon Web Services, Inc. or its Affiliates.
今回のゴール
o Amazon VPCの新機能、More specific routing (MSR)で新しく可能になった
構成を理解する
o 様々なトラフィックをAWS Transit Gatewayを利⽤してAWS Network
Firewallに集約して、まとめて監査する設計と構築ができるようになる
なお、Network Firewallについての基礎は、「AWS Network Firewall⼊⾨」をご
参照ください。
4
© 2021, Amazon Web Services, Inc. or its Affiliates.
Agenda
o VPCの新機能、More specific routing (MSR)
o 様々な通信をNetwork Firewallに集約して監査する
o この構成のメリット
o トラフィックフロー
o 設計ポイントはルート設定にあり
o 応⽤︓公開サーバ宛の通信を集約する
o マルチAZの際の注意事項
o まとめ
5
© 2021, Amazon Web Services, Inc. or its Affiliates. 6
Amazon VPCの新機能、More specific routing
(MSR)
© 2021, Amazon Web Services, Inc. or its Affiliates.
Amazon VPCの新機能 More specific routing(MSR)
7
✔VPC CIDRで作られるlocalルートのTargetを変更できるようになった
注意事項
・VPCの外へ向かうようなTarget設定
(Transit Gatewayなど)は不可
・VPCにサブネットとして存在しない宛先の設
定は不可
✔VPC のサブネット宛のルートを設定できるようになった
© 2021, Amazon Web Services, Inc. or its Affiliates.
Private subnet
Firewall subnet
Public subnet
Amazon VPCの新機能 More specific routing(MSR)
8
NAT Gateway
EC2
Internet gateway
Destination Target
192.168.0.0/24 local
192.168.0.0/26
(Private subnet)
Firewall
endpoint
0.0.0.0/0 Internet
Gateway
Destination Target
192.168.0.0/24 local
0.0.0.0/0 NAT
Gateway
Destination Target
192.168.0.0/24 local
0.0.0.0/0 Fireawll
endpoint
MSRを使ってlocalルートに含まれる戻りの経路の
TargetをFirewall endpointに指定することにより、
VPCが⼀つの場合でも、NAT Gatewayを外側に
配置できるようになりました。
これにより、Network Firewallから⾒て、送信元が
NAT GatewayのIPアドレスに集約されてしまう状態
を改善することができます。
✔Network Firewallでの活⽤例
Firewall endpoint
VPC
192.168.0.0/26
192.168.0.0/24
© 2021, Amazon Web Services, Inc. or its Affiliates. 9
様々な通信をNetwork Firewallに集約して監査する
© 2021, Amazon Web Services, Inc. or its Affiliates.
様々な通信をNetwork Firewallに集約して監査する
10
これらの通信を強制的にNetwork Firewall経由にします。
1. VPC同⼠の通信
2. オンプレミス(Direct Connect/VPN) とVPCへの通信
3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信
VPC
VPC VPC
Direct Connect Gateway
Direct Connect
Firewall Endpoint
Transit Gateway
NAT Gateway
Internet Gateway
Corporate office
セキュリティ監査と
インターネット出口用VPC
© 2021, Amazon Web Services, Inc. or its Affiliates.
この構成のメリット
11
VPC
VPC
VPC
Direct Connect Gateway
Direct Connect
Firewall Endpoint
Transit Gateway
NAT Gateway
Internet Gateway
Corporate office
1.すべての通信をNetwork Firewall経由にすることにより、⼀元的に管理できる
2.マルチアカウント構成の際にネットワークセキュリティ機能を取り扱いやすい
セキュリティ監査と
インターネット出口用VPC
例:インフラチームのAWSアカウント
© 2021, Amazon Web Services, Inc. or its Affiliates.
トラフィックフロー
12
これらの通信を強制的にNetwork Firewall経由にする。
1. VPC同⼠の通信
2. オンプレミス(Direct Connect/VPN) とVPCへの通信
3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信
VPC
VPC VPC
Direct Connect Gateway
Direct Connect
Firewall Endpoint
Transit Gateway
NAT Gateway
Internet Gateway
Corporate office
セキュリティ監査と
インターネット出口用VPC
© 2021, Amazon Web Services, Inc. or its Affiliates.
トラフィックフロー
13
これらの通信を強制的にNetwork Firewall経由にする。
1. VPC同⼠の通信
2. オンプレミス(Direct Connect/VPN) とVPCへの通信
3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信
VPC
VPC VPC
Direct Connect Gateway
Direct Connect
Firewall Endpoint
Transit Gateway
NAT Gateway
Internet Gateway
Corporate office
セキュリティ監査と
インターネット出口用VPC
© 2021, Amazon Web Services, Inc. or its Affiliates.
トラフィックフロー
14
これらの通信を強制的にNetwork Firewall経由にする。
1. VPC同⼠の通信
2. オンプレミス(Direct Connect/VPN) とVPCへの通信
3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信
VPC
VPC VPC
Direct Connect Gateway
Direct Connect
Firewall Endpoint
Transit Gateway
NAT Gateway
Internet Gateway
Corporate office
セキュリティ監査と
インターネット出口用VPC
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
設計ポイントはルート設定にあり
15
監査⽤VPC
Client VPC 1
Direct Connect Gateway
Direct Connect
association
Internet Gateway
✔Transit Gatewayのルートテーブルを複数作成し、必ず監査⽤VPCを通るように制御する
Corporate office
TGW subnet
Firewall subnet
Route table 1
Dest Target
0.0.0.0/0 監査⽤VPC attachment
Route table 2
Dest Target
Client VPC 1 CIDR Client VPC 1 attachment
Client VPC 2 CIDR Client VPC 2 attachment
BGP Route(Direct Connect )
association
Public Subnet Route table
Dest Target
0.0.0.0/0 Internet Gateway
Client VPC 1 CIDR Firewall endpoint
Client VPC 2 CIDR Firewall endpoint
Corporate Office Network Firewall endpoint
Firewall subnet route table
Dest Target
0.0.0.0/0 NAT Gateway
Client VPC 1 CIDR TGW attachment
Client VPC 2 CIDR TGW attachment
Corporate Office Network TGW attachment
TGW Subnet route table
Dest Target
0.0.0.0/0 Firewall endpoint
Private subnet
TGW subnet
Client VPC 2
Private subnet
TGW subnet
propagation
NAT Gateway
Firewall endpoint
TGW ENI
TGW ENI TGW ENI
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
設計ポイントはルート設定にあり
16
監査⽤VPC
Client VPC 1
Direct Connect Gateway
Direct Connect
association
Internet Gateway
✔association,propagationとは︖
Corporate office
TGW subnet
Firewall subnet
Route table 1
Dest Target
0.0.0.0/0 監査⽤VPC attachment
Route table 2
Dest Target
Client VPC 1 CIDR Client VPC 1 attachment
Client VPC 2 CIDR Client VPC 2 attachment
BGP Route(Direct Connect )
association
Public Subnet Route table
Dest Target
0.0.0.0/0 Internet Gateway
Client VPC 1 CIDR Firewall endpoint
Client VPC 2 CIDR Firewall endpoint
Corporate Office Network Firewall endpoint
Firewall subnet route table
Dest Target
0.0.0.0/0 NAT Gateway
Client VPC 1 CIDR TGW attachment
Client VPC 2 CIDR TGW attachment
Corporate Office Network TGW attachment
TGW Subnet route table
Dest Target
0.0.0.0/0 Firewall endpoint
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
Private subnet
TGW subnet
Client VPC 2
Private subnet
TGW subnet
propagation
NAT Gateway
Firewall endpoint
TGW ENI
TGW ENI TGW ENI
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
参考︓https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-transit-gateway-2019/
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
設計ポイントはルート設定にあり
17
監査⽤VPC
Client VPC 1
Direct Connect Gateway
Direct Connect
association
Internet Gateway
✔ VPC同⼠の通信(⾏き)
Corporate office
TGW subnet
Firewall subnet
Route table 1
Dest Target
0.0.0.0/0 監査⽤VPC attachment
Route table 2
Dest Target
Client VPC 1 CIDR Client VPC 1 attachment
Client VPC 2 CIDR Client VPC 2 attachment
BGP Route(Direct Connect )
association
Public Subnet Route table
Dest Target
0.0.0.0/0 Internet Gateway
Client VPC 1 CIDR Firewall endpoint
Client VPC 2 CIDR Firewall endpoint
Corporate Office Network Firewall endpoint
Firewall subnet route table
Dest Target
0.0.0.0/0 NAT Gateway
Client VPC 1 CIDR TGW attachment
Client VPC 2 CIDR TGW attachment
Corporate Office Network TGW attachment
TGW Subnet route table
Dest Target
0.0.0.0/0 Firewall endpoint
Private subnet
TGW subnet
Client VPC 2
Private subnet
TGW subnet
propagation
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
NAT Gateway
Firewall endpoint
TGW ENI
TGW ENI TGW ENI
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
設計ポイントはルート設定にあり
18
監査⽤VPC
Client VPC 1
Direct Connect Gateway
Direct Connect
association
Internet Gateway
✔ VPC同⼠の通信(戻り)
Corporate office
TGW subnet
Firewall subnet
Route table 1
Dest Target
0.0.0.0/0 監査⽤VPC attachment
Route table 2
Dest Target
Client VPC 1 CIDR Client VPC 1 attachment
Client VPC 2 CIDR Client VPC 2 attachment
BGP Route(Direct Connect )
association
Public Subnet Route table
Dest Target
0.0.0.0/0 Internet Gateway
Client VPC 1 CIDR Firewall endpoint
Client VPC 2 CIDR Firewall endpoint
Corporate Office Network Firewall endpoint
Firewall subnet route table
Dest Target
0.0.0.0/0 NAT Gateway
Client VPC 1 CIDR TGW attachment
Client VPC 2 CIDR TGW attachment
Corporate Office Network TGW attachment
TGW Subnet route table
Dest Target
0.0.0.0/0 Firewall endpoint
Private subnet
TGW subnet
Client VPC 2
Private subnet
TGW subnet
propagation
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
NAT Gateway
Firewall endpoint
TGW ENI
TGW ENI TGW ENI
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
設計ポイントはルート設定にあり
19
監査⽤VPC
Client VPC 1
Direct Connect Gateway
Direct Connect
association
Internet Gateway
✔インターネット宛の通信(⾏き)
Corporate office
TGW subnet
Firewall subnet
Route table 1
Dest Target
0.0.0.0/0 監査⽤VPC
attachment
Route table 2
Dest Target
Client VPC 1 CIDR Client VPC 1 attachment
Client VPC 2 CIDR Client VPC 2 attachment
BGP Route(Direct Connect )
association
Public Subnet Route table
Dest Target
0.0.0.0/0 Internet Gateway
Client VPC 1 CIDR Firewall endpoint
Client VPC 2 CIDR Firewall endpoint
Corporate Office Network Firewall endpoint
Firewall subnet route table
Dest Target
0.0.0.0/0 NAT Gateway
Client VPC 1 CIDR TGW attachment
Client VPC 2 CIDR TGW attachment
Corporate Office Network TGW attachment
TGW Subnet route table
Dest Target
0.0.0.0/0 Firewall endpoint
Private subnet
TGW subnet
Client VPC 2
Private subnet
TGW subnet
propagation
NAT Gateway
Firewall endpoint
TGW ENI
TGW ENI TGW ENI
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
設計ポイントはルート設定にあり
20
監査⽤VPC
Client VPC 1
Direct Connect Gateway
Direct Connect
association
Internet Gateway
✔インターネット宛の通信(戻り)
Corporate office
TGW subnet
Firewall subnet
Route table 1
Dest Target
0.0.0.0/0 監査⽤VPC attachment
Route table 2
Dest Target
Client VPC 1 CIDR Client VPC 1 attachment
Client VPC 2 CIDR Client VPC 2 attachment
BGP Route(Direct Connect )
association
Public Subnet Route table
Dest Target
0.0.0.0/0 Internet Gateway
Client VPC 1 CIDR Firewall endpoint
Client VPC 2 CIDR Firewall endpoint
Corporate Office Network Firewall endpoint
Firewall subnet route table
Dest Target
0.0.0.0/0 NAT Gateway
Client VPC 1 CIDR TGW attachment
Client VPC 2 CIDR TGW attachment
Corporate Office Network TGW attachment
TGW Subnet route table
Dest Target
0.0.0.0/0 Firewall endpoint
Private subnet
TGW subnet
Client VPC 2
Private subnet
TGW subnet
propagation
NAT Gateway
Firewall endpoint
TGW ENI
TGW ENI TGW ENI
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
応⽤︓公開サーバ宛の通信を集約する
21
監査⽤VPC
Client VPC 1
Direct Connect Gateway
Direct Connect
association
Internet Gateway
Corporate office
TGW subnet
Firewall subnet
Route table 1
Dest Target
0.0.0.0/0 監査⽤VPC attachment
Route table 2
Dest Target
Client VPC 1 CIDR Client VPC 1 attachment
Client VPC 2 CIDR Client VPC 2 attachment
Ingress VPC CIDR Ingress VPC attachment
BGP Route(Direct Connect )
association
Public Subnet Route table
Dest Target
0.0.0.0/0 Internet Gateway
Client VPC 1 CIDR Firewall endpoint
Client VPC 2 CIDR Firewall endpoint
Corporate Office Network Firewall endpoint
Ingress VPC CIDR Firewall endpoint
Firewall subnet route table
Dest Target
0.0.0.0/0 NAT Gateway
Client VPC 1 CIDR TGW attachment
Client VPC 2 CIDR TGW attachment
Corporate Office Network TGW attachment
Ingress VPC CIDR TGW attachment
TGW Subnet route table
Dest Target
0.0.0.0/0 Firewall endpoint
Private subnet
TGW subnet
Client VPC 2
Private subnet
TGW subnet
propagation
✔ALBまたはNLBを使ってインターネットからの通信をまとめて検査する
Ingress VPC
TGW subnet
Public subnet
ALB
target
association
NAT Gateway
Firewall endpoint
TGW ENI
TGW ENI
TGW ENI TGW ENI
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
Main route table
Dest Target
0.0.0.0/0 TGW
attachment
Internet Gateway
送信元IPアドレスはALB
になるので注意︕
公開サーバ
© 2021, Amazon Web Services, Inc. or its Affiliates.
Public subnet
マルチAZの際の注意事項
22
監査⽤VPC
Internet Gateway
TGW subnet
Firewall subnet
✔監査⽤のVPCをマルチAZ構成にする際には、Transit Gatewayのアプライアンスモード有効に︕
NAT Gateway
Firewall endpoint
TGW ENI
Availability Zone 1
Public subnet
TGW subnet
Firewall subnet
NAT Gateway
Firewall endpoint
TGW ENI
Availability Zone 2
VPC
⾏き
戻り
⾏きと戻りで別のFirewall endpointを
経由してしまうと、ステートに⽭盾が出て
通信が遮断されてしまうため、アプライア
ンスモードを有効にする。
VPC同⼠やVPNの場合も同様
参考︓https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html
Corporate office
Direct Connect Gateway
Direct Connect
© 2021, Amazon Web Services, Inc. or its Affiliates.
まとめ
o More specific routing により、VPC⼀つで完結する構成の幅が増えた
o NAT GatewayをInternet Gateway側に配置できるようになり、Network Firewall
から⾒て、source addrがNAT Gatewayになってしまう状態を解消できる
o Transit Gatewayを使って、Network FirewallがあるVPCに通信を集約すること
により、⼀元的な監査が可能となる
o Transit Gatewayに接続されているリソース同⼠の通信を必ずFirewall経由にする
o マルチAZ構成の場合は、Transit Gatewayのプライアンスモードを有効にする
o そうしないと、⾏きと戻りで通信が⾮対称となり、正常に検査できない
23
© 2021, Amazon Web Services, Inc. or its Affiliates.
本資料に関するお問い合わせ・ご感想
o 技術的な内容に関しましては、有料のAWSサポート窓⼝へ
お問い合わせください
o https://aws.amazon.com/jp/premiumsupport/
o 料⾦⾯でのお問い合わせに関しましては、カスタマーサポート窓⼝へ
お問い合わせください(マネジメントコンソールへのログインが必要です)
o https://console.aws.amazon.com/support/home#/case/create?issue
Type=customer-service
o 具体的な案件に対する構成相談は、後述する個別技術相談会をご活⽤ください
24
ご感想はTwitterへ︕ハッシュタグは以下をご利⽤ください
#awsblackbelt
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWSの⽇本語資料の場所「AWS 資料」で検索
25
https://amzn.to/JPArchive
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWSのハンズオン資料の場所「AWS ハンズオン」で検索
26
https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Well-Architected個別技術相談会
o 毎週「W-A個別技術相談会」を実施中
o AWSのソリューションアーキテクト(SA)に
対策などを相談することも可能
o 申込みはイベント告知サイトから
o https://aws.amazon.com/jp/about-aws/events/
27
で[検索]
AWS イベント
© 2021, Amazon Web Services, Inc. or its Affiliates.
ご視聴ありがとうございました
28

Más contenido relacionado

Más de Amazon Web Services Japan

202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用Amazon Web Services Japan
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdfAmazon Web Services Japan
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介Amazon Web Services Japan
 
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon Web Services Japan
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチAmazon Web Services Japan
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介Amazon Web Services Japan
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer ProfilesAmazon Web Services Japan
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Web Services Japan
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨Amazon Web Services Japan
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介Amazon Web Services Japan
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介Amazon Web Services Japan
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...Amazon Web Services Japan
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピAmazon Web Services Japan
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operationsAmazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報Amazon Web Services Japan
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをなAmazon Web Services Japan
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPNAmazon Web Services Japan
 

Más de Amazon Web Services Japan (20)

202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
 
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
 
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
 

Último

ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦Sadao Tokuyama
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見Shumpei Kishi
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdfAyachika Kitazaki
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)ssuser539845
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor arts yokohama
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-LoopへTetsuya Nihonmatsu
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~arts yokohama
 
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfMatsushita Laboratory
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法ssuser370dd7
 

Último (12)

ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
 
2024 04 minnanoito
2024 04 minnanoito2024 04 minnanoito
2024 04 minnanoito
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
 
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
 
2024 03 CTEA
2024 03 CTEA2024 03 CTEA
2024 03 CTEA
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
 
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
 

202110 AWS Black Belt Online Seminar AWS Network Firewall 応用編1

  • 1. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive Yosuke Okumura Network Solutions Architect 2021/10 AWS Network Firewall 応⽤編1 新機能︓MSRの活⽤/トラフィックを集約して監査する AWS Black Belt Online Seminar
  • 2. © 2021, Amazon Web Services, Inc. or its Affiliates. 内容についての注意点 o 本資料では2021年10⽉時点のサービス内容および価格についてご説明しています。 最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 o 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に 相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 o 価格は税抜表記となっています。 ⽇本居住者のお客様には別途消費税をご請求させていただきます。 o AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 2
  • 3. © 2021, Amazon Web Services, Inc. or its Affiliates. ⾃⼰紹介 名前︓ 奥村 洋介(おくむら ようすけ) ポジション︓ネットワークソリューションアーキテクト 経歴︓ 国内のISP、通信キャリアで10年ほどネットワークエンジニア を経験後、AWSに⼊社 好きなAWSサービス︓ AWS Transit Gateway, AWS Network Firewall 3
  • 4. © 2021, Amazon Web Services, Inc. or its Affiliates. 今回のゴール o Amazon VPCの新機能、More specific routing (MSR)で新しく可能になった 構成を理解する o 様々なトラフィックをAWS Transit Gatewayを利⽤してAWS Network Firewallに集約して、まとめて監査する設計と構築ができるようになる なお、Network Firewallについての基礎は、「AWS Network Firewall⼊⾨」をご 参照ください。 4
  • 5. © 2021, Amazon Web Services, Inc. or its Affiliates. Agenda o VPCの新機能、More specific routing (MSR) o 様々な通信をNetwork Firewallに集約して監査する o この構成のメリット o トラフィックフロー o 設計ポイントはルート設定にあり o 応⽤︓公開サーバ宛の通信を集約する o マルチAZの際の注意事項 o まとめ 5
  • 6. © 2021, Amazon Web Services, Inc. or its Affiliates. 6 Amazon VPCの新機能、More specific routing (MSR)
  • 7. © 2021, Amazon Web Services, Inc. or its Affiliates. Amazon VPCの新機能 More specific routing(MSR) 7 ✔VPC CIDRで作られるlocalルートのTargetを変更できるようになった 注意事項 ・VPCの外へ向かうようなTarget設定 (Transit Gatewayなど)は不可 ・VPCにサブネットとして存在しない宛先の設 定は不可 ✔VPC のサブネット宛のルートを設定できるようになった
  • 8. © 2021, Amazon Web Services, Inc. or its Affiliates. Private subnet Firewall subnet Public subnet Amazon VPCの新機能 More specific routing(MSR) 8 NAT Gateway EC2 Internet gateway Destination Target 192.168.0.0/24 local 192.168.0.0/26 (Private subnet) Firewall endpoint 0.0.0.0/0 Internet Gateway Destination Target 192.168.0.0/24 local 0.0.0.0/0 NAT Gateway Destination Target 192.168.0.0/24 local 0.0.0.0/0 Fireawll endpoint MSRを使ってlocalルートに含まれる戻りの経路の TargetをFirewall endpointに指定することにより、 VPCが⼀つの場合でも、NAT Gatewayを外側に 配置できるようになりました。 これにより、Network Firewallから⾒て、送信元が NAT GatewayのIPアドレスに集約されてしまう状態 を改善することができます。 ✔Network Firewallでの活⽤例 Firewall endpoint VPC 192.168.0.0/26 192.168.0.0/24
  • 9. © 2021, Amazon Web Services, Inc. or its Affiliates. 9 様々な通信をNetwork Firewallに集約して監査する
  • 10. © 2021, Amazon Web Services, Inc. or its Affiliates. 様々な通信をNetwork Firewallに集約して監査する 10 これらの通信を強制的にNetwork Firewall経由にします。 1. VPC同⼠の通信 2. オンプレミス(Direct Connect/VPN) とVPCへの通信 3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信 VPC VPC VPC Direct Connect Gateway Direct Connect Firewall Endpoint Transit Gateway NAT Gateway Internet Gateway Corporate office セキュリティ監査と インターネット出口用VPC
  • 11. © 2021, Amazon Web Services, Inc. or its Affiliates. この構成のメリット 11 VPC VPC VPC Direct Connect Gateway Direct Connect Firewall Endpoint Transit Gateway NAT Gateway Internet Gateway Corporate office 1.すべての通信をNetwork Firewall経由にすることにより、⼀元的に管理できる 2.マルチアカウント構成の際にネットワークセキュリティ機能を取り扱いやすい セキュリティ監査と インターネット出口用VPC 例:インフラチームのAWSアカウント
  • 12. © 2021, Amazon Web Services, Inc. or its Affiliates. トラフィックフロー 12 これらの通信を強制的にNetwork Firewall経由にする。 1. VPC同⼠の通信 2. オンプレミス(Direct Connect/VPN) とVPCへの通信 3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信 VPC VPC VPC Direct Connect Gateway Direct Connect Firewall Endpoint Transit Gateway NAT Gateway Internet Gateway Corporate office セキュリティ監査と インターネット出口用VPC
  • 13. © 2021, Amazon Web Services, Inc. or its Affiliates. トラフィックフロー 13 これらの通信を強制的にNetwork Firewall経由にする。 1. VPC同⼠の通信 2. オンプレミス(Direct Connect/VPN) とVPCへの通信 3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信 VPC VPC VPC Direct Connect Gateway Direct Connect Firewall Endpoint Transit Gateway NAT Gateway Internet Gateway Corporate office セキュリティ監査と インターネット出口用VPC
  • 14. © 2021, Amazon Web Services, Inc. or its Affiliates. トラフィックフロー 14 これらの通信を強制的にNetwork Firewall経由にする。 1. VPC同⼠の通信 2. オンプレミス(Direct Connect/VPN) とVPCへの通信 3. VPCやオンプレミス(Direct Connect/VPN)からインターネットへの通信 VPC VPC VPC Direct Connect Gateway Direct Connect Firewall Endpoint Transit Gateway NAT Gateway Internet Gateway Corporate office セキュリティ監査と インターネット出口用VPC
  • 15. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet 設計ポイントはルート設定にあり 15 監査⽤VPC Client VPC 1 Direct Connect Gateway Direct Connect association Internet Gateway ✔Transit Gatewayのルートテーブルを複数作成し、必ず監査⽤VPCを通るように制御する Corporate office TGW subnet Firewall subnet Route table 1 Dest Target 0.0.0.0/0 監査⽤VPC attachment Route table 2 Dest Target Client VPC 1 CIDR Client VPC 1 attachment Client VPC 2 CIDR Client VPC 2 attachment BGP Route(Direct Connect ) association Public Subnet Route table Dest Target 0.0.0.0/0 Internet Gateway Client VPC 1 CIDR Firewall endpoint Client VPC 2 CIDR Firewall endpoint Corporate Office Network Firewall endpoint Firewall subnet route table Dest Target 0.0.0.0/0 NAT Gateway Client VPC 1 CIDR TGW attachment Client VPC 2 CIDR TGW attachment Corporate Office Network TGW attachment TGW Subnet route table Dest Target 0.0.0.0/0 Firewall endpoint Private subnet TGW subnet Client VPC 2 Private subnet TGW subnet propagation NAT Gateway Firewall endpoint TGW ENI TGW ENI TGW ENI Main route table Dest Target 0.0.0.0/0 TGW attachment Main route table Dest Target 0.0.0.0/0 TGW attachment
  • 16. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet 設計ポイントはルート設定にあり 16 監査⽤VPC Client VPC 1 Direct Connect Gateway Direct Connect association Internet Gateway ✔association,propagationとは︖ Corporate office TGW subnet Firewall subnet Route table 1 Dest Target 0.0.0.0/0 監査⽤VPC attachment Route table 2 Dest Target Client VPC 1 CIDR Client VPC 1 attachment Client VPC 2 CIDR Client VPC 2 attachment BGP Route(Direct Connect ) association Public Subnet Route table Dest Target 0.0.0.0/0 Internet Gateway Client VPC 1 CIDR Firewall endpoint Client VPC 2 CIDR Firewall endpoint Corporate Office Network Firewall endpoint Firewall subnet route table Dest Target 0.0.0.0/0 NAT Gateway Client VPC 1 CIDR TGW attachment Client VPC 2 CIDR TGW attachment Corporate Office Network TGW attachment TGW Subnet route table Dest Target 0.0.0.0/0 Firewall endpoint Main route table Dest Target 0.0.0.0/0 TGW attachment Private subnet TGW subnet Client VPC 2 Private subnet TGW subnet propagation NAT Gateway Firewall endpoint TGW ENI TGW ENI TGW ENI Main route table Dest Target 0.0.0.0/0 TGW attachment 参考︓https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-transit-gateway-2019/
  • 17. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet 設計ポイントはルート設定にあり 17 監査⽤VPC Client VPC 1 Direct Connect Gateway Direct Connect association Internet Gateway ✔ VPC同⼠の通信(⾏き) Corporate office TGW subnet Firewall subnet Route table 1 Dest Target 0.0.0.0/0 監査⽤VPC attachment Route table 2 Dest Target Client VPC 1 CIDR Client VPC 1 attachment Client VPC 2 CIDR Client VPC 2 attachment BGP Route(Direct Connect ) association Public Subnet Route table Dest Target 0.0.0.0/0 Internet Gateway Client VPC 1 CIDR Firewall endpoint Client VPC 2 CIDR Firewall endpoint Corporate Office Network Firewall endpoint Firewall subnet route table Dest Target 0.0.0.0/0 NAT Gateway Client VPC 1 CIDR TGW attachment Client VPC 2 CIDR TGW attachment Corporate Office Network TGW attachment TGW Subnet route table Dest Target 0.0.0.0/0 Firewall endpoint Private subnet TGW subnet Client VPC 2 Private subnet TGW subnet propagation Main route table Dest Target 0.0.0.0/0 TGW attachment NAT Gateway Firewall endpoint TGW ENI TGW ENI TGW ENI Main route table Dest Target 0.0.0.0/0 TGW attachment
  • 18. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet 設計ポイントはルート設定にあり 18 監査⽤VPC Client VPC 1 Direct Connect Gateway Direct Connect association Internet Gateway ✔ VPC同⼠の通信(戻り) Corporate office TGW subnet Firewall subnet Route table 1 Dest Target 0.0.0.0/0 監査⽤VPC attachment Route table 2 Dest Target Client VPC 1 CIDR Client VPC 1 attachment Client VPC 2 CIDR Client VPC 2 attachment BGP Route(Direct Connect ) association Public Subnet Route table Dest Target 0.0.0.0/0 Internet Gateway Client VPC 1 CIDR Firewall endpoint Client VPC 2 CIDR Firewall endpoint Corporate Office Network Firewall endpoint Firewall subnet route table Dest Target 0.0.0.0/0 NAT Gateway Client VPC 1 CIDR TGW attachment Client VPC 2 CIDR TGW attachment Corporate Office Network TGW attachment TGW Subnet route table Dest Target 0.0.0.0/0 Firewall endpoint Private subnet TGW subnet Client VPC 2 Private subnet TGW subnet propagation Main route table Dest Target 0.0.0.0/0 TGW attachment NAT Gateway Firewall endpoint TGW ENI TGW ENI TGW ENI Main route table Dest Target 0.0.0.0/0 TGW attachment
  • 19. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet 設計ポイントはルート設定にあり 19 監査⽤VPC Client VPC 1 Direct Connect Gateway Direct Connect association Internet Gateway ✔インターネット宛の通信(⾏き) Corporate office TGW subnet Firewall subnet Route table 1 Dest Target 0.0.0.0/0 監査⽤VPC attachment Route table 2 Dest Target Client VPC 1 CIDR Client VPC 1 attachment Client VPC 2 CIDR Client VPC 2 attachment BGP Route(Direct Connect ) association Public Subnet Route table Dest Target 0.0.0.0/0 Internet Gateway Client VPC 1 CIDR Firewall endpoint Client VPC 2 CIDR Firewall endpoint Corporate Office Network Firewall endpoint Firewall subnet route table Dest Target 0.0.0.0/0 NAT Gateway Client VPC 1 CIDR TGW attachment Client VPC 2 CIDR TGW attachment Corporate Office Network TGW attachment TGW Subnet route table Dest Target 0.0.0.0/0 Firewall endpoint Private subnet TGW subnet Client VPC 2 Private subnet TGW subnet propagation NAT Gateway Firewall endpoint TGW ENI TGW ENI TGW ENI Main route table Dest Target 0.0.0.0/0 TGW attachment Main route table Dest Target 0.0.0.0/0 TGW attachment
  • 20. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet 設計ポイントはルート設定にあり 20 監査⽤VPC Client VPC 1 Direct Connect Gateway Direct Connect association Internet Gateway ✔インターネット宛の通信(戻り) Corporate office TGW subnet Firewall subnet Route table 1 Dest Target 0.0.0.0/0 監査⽤VPC attachment Route table 2 Dest Target Client VPC 1 CIDR Client VPC 1 attachment Client VPC 2 CIDR Client VPC 2 attachment BGP Route(Direct Connect ) association Public Subnet Route table Dest Target 0.0.0.0/0 Internet Gateway Client VPC 1 CIDR Firewall endpoint Client VPC 2 CIDR Firewall endpoint Corporate Office Network Firewall endpoint Firewall subnet route table Dest Target 0.0.0.0/0 NAT Gateway Client VPC 1 CIDR TGW attachment Client VPC 2 CIDR TGW attachment Corporate Office Network TGW attachment TGW Subnet route table Dest Target 0.0.0.0/0 Firewall endpoint Private subnet TGW subnet Client VPC 2 Private subnet TGW subnet propagation NAT Gateway Firewall endpoint TGW ENI TGW ENI TGW ENI Main route table Dest Target 0.0.0.0/0 TGW attachment Main route table Dest Target 0.0.0.0/0 TGW attachment
  • 21. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet 応⽤︓公開サーバ宛の通信を集約する 21 監査⽤VPC Client VPC 1 Direct Connect Gateway Direct Connect association Internet Gateway Corporate office TGW subnet Firewall subnet Route table 1 Dest Target 0.0.0.0/0 監査⽤VPC attachment Route table 2 Dest Target Client VPC 1 CIDR Client VPC 1 attachment Client VPC 2 CIDR Client VPC 2 attachment Ingress VPC CIDR Ingress VPC attachment BGP Route(Direct Connect ) association Public Subnet Route table Dest Target 0.0.0.0/0 Internet Gateway Client VPC 1 CIDR Firewall endpoint Client VPC 2 CIDR Firewall endpoint Corporate Office Network Firewall endpoint Ingress VPC CIDR Firewall endpoint Firewall subnet route table Dest Target 0.0.0.0/0 NAT Gateway Client VPC 1 CIDR TGW attachment Client VPC 2 CIDR TGW attachment Corporate Office Network TGW attachment Ingress VPC CIDR TGW attachment TGW Subnet route table Dest Target 0.0.0.0/0 Firewall endpoint Private subnet TGW subnet Client VPC 2 Private subnet TGW subnet propagation ✔ALBまたはNLBを使ってインターネットからの通信をまとめて検査する Ingress VPC TGW subnet Public subnet ALB target association NAT Gateway Firewall endpoint TGW ENI TGW ENI TGW ENI TGW ENI Main route table Dest Target 0.0.0.0/0 TGW attachment Main route table Dest Target 0.0.0.0/0 TGW attachment Internet Gateway 送信元IPアドレスはALB になるので注意︕ 公開サーバ
  • 22. © 2021, Amazon Web Services, Inc. or its Affiliates. Public subnet マルチAZの際の注意事項 22 監査⽤VPC Internet Gateway TGW subnet Firewall subnet ✔監査⽤のVPCをマルチAZ構成にする際には、Transit Gatewayのアプライアンスモード有効に︕ NAT Gateway Firewall endpoint TGW ENI Availability Zone 1 Public subnet TGW subnet Firewall subnet NAT Gateway Firewall endpoint TGW ENI Availability Zone 2 VPC ⾏き 戻り ⾏きと戻りで別のFirewall endpointを 経由してしまうと、ステートに⽭盾が出て 通信が遮断されてしまうため、アプライア ンスモードを有効にする。 VPC同⼠やVPNの場合も同様 参考︓https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html Corporate office Direct Connect Gateway Direct Connect
  • 23. © 2021, Amazon Web Services, Inc. or its Affiliates. まとめ o More specific routing により、VPC⼀つで完結する構成の幅が増えた o NAT GatewayをInternet Gateway側に配置できるようになり、Network Firewall から⾒て、source addrがNAT Gatewayになってしまう状態を解消できる o Transit Gatewayを使って、Network FirewallがあるVPCに通信を集約すること により、⼀元的な監査が可能となる o Transit Gatewayに接続されているリソース同⼠の通信を必ずFirewall経由にする o マルチAZ構成の場合は、Transit Gatewayのプライアンスモードを有効にする o そうしないと、⾏きと戻りで通信が⾮対称となり、正常に検査できない 23
  • 24. © 2021, Amazon Web Services, Inc. or its Affiliates. 本資料に関するお問い合わせ・ご感想 o 技術的な内容に関しましては、有料のAWSサポート窓⼝へ お問い合わせください o https://aws.amazon.com/jp/premiumsupport/ o 料⾦⾯でのお問い合わせに関しましては、カスタマーサポート窓⼝へ お問い合わせください(マネジメントコンソールへのログインが必要です) o https://console.aws.amazon.com/support/home#/case/create?issue Type=customer-service o 具体的な案件に対する構成相談は、後述する個別技術相談会をご活⽤ください 24 ご感想はTwitterへ︕ハッシュタグは以下をご利⽤ください #awsblackbelt
  • 25. © 2021, Amazon Web Services, Inc. or its Affiliates. AWSの⽇本語資料の場所「AWS 資料」で検索 25 https://amzn.to/JPArchive
  • 26. © 2021, Amazon Web Services, Inc. or its Affiliates. AWSのハンズオン資料の場所「AWS ハンズオン」で検索 26 https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/
  • 27. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Well-Architected個別技術相談会 o 毎週「W-A個別技術相談会」を実施中 o AWSのソリューションアーキテクト(SA)に 対策などを相談することも可能 o 申込みはイベント告知サイトから o https://aws.amazon.com/jp/about-aws/events/ 27 で[検索] AWS イベント
  • 28. © 2021, Amazon Web Services, Inc. or its Affiliates. ご視聴ありがとうございました 28