logo
Published on

AWS再入門2022 Amazon VPC編を読んでみた

Authors

AWS再入門2022 Amazon VPC編という記事を読んだメモです。

  • Amazon VPC(Virtual Private Cloud): ユーザー専用のプライベートなクラウド環境を提供するサービス
  • 1つのTCP/IPネットワーク全体をサービス名と同じVPC頭位単位で管理
  • AWSリージョンごとに作成
  • VPC同士は通信できない
  • 重複しないIPアドレスで構築
    • 後から変更不可
    • 変更にはVPC上に構築されたものを削除して再構築が必要になる
  • RFC1918 : プライベートIPアドレスとして使って良い範囲を定めた国際的なルール
  • 1つのVPCに、/16を割り当てる
    • /16 : IPアドレスの範囲を表すCIDR表記
      • CIDRの仕組み
        • IPアドレスは32ビットでできている。
/16 の意味:
├── 前半16ビット → ネットワーク部(固定)
└── 後半16ビット → ホスト部(自由に使える)
  • IPv4とIPv6の違い
    • IPv4
      • アドレス例 : 192.168.1.1
      • アドレス数 : 約43億個
    • IPv6
      • アドレス例 : 2001:0db8:85a3::8a2e:0370:7334
      • アドレス数 : ほぼ無限
  • IPv4/IPv6のデュアルスタック
    • IPv4とIPv6の両方のアドレスを持ち、どちらでも通信が可能

サブネット(VPC Subnet)

VPCの中をさらに小さく区切ったネットワークのこと。

  • 用途で分ける
    • パブリックサブネット : インターネットからアクセスできる
    • プライベートサブネット : インターネットから直接アクセスできない(DBサーバー、アプリサーバー)
  • 可用性のためにわける
    • AZ(アベイラビリティゾーン)ごとに分けることで、障害発生時の影響を最小限に抑える

ルートテーブル

通信をどこに送るかを決める経路情報

セキュリティ

トラフィック制御(Security Group / Network ACL)

  • Security Group(セキュリティグループ)
    • インスタンスごとに設定する通信フィルター
    • ホワイトリスト型 : 許可だけ設定。
    • ステートフル : 行きだけ許可すれば、戻りも自動的に許可される
    • インスタンス単位 : EC2ごとに異なるルールを設定可能
  • Network ACL(ネットワークACL)
    • サブネット全体に設定する通信フィルター
    • ブラックリスト型 : 許可と拒否の両方を設定可能
    • ステートレス : 行きと戻りの両方にルール
    • サブネット単位 : サブネット内の全てのリソースに適用

Amazon Route 53 Resolver DNS Firewall

VPCからのDNS問い合わせをフィルタリングするファイアウォール。 特定の宛先だけしか通信させたく無いようなVPCを作成したい場合に非常に有効。

AWS Network Firewall

VPCの境界で通信を検査・フィルタリングする高機能なファイアウォール。

  • ステートレスフィルタリング : プロトコル、IP、ポートで制御
  • ステートフルフィルタリング : プロトコル、IP、ポートで制御
  • ドメインベース制御 : HTTP/HTTPSの宛先ドメインでアクセス制御

具体的な使用例

  • ドメインベースのHTTP/HTTPS制御
    • 許可するドメインだけ通信させたい
  • 侵入防止
    • 悪意のある通信パターンを検知・ブロック(SQLインジェクション・マルウェア通信パターン)

分析/調査

フローログ(Amazon VPC Flow Log)

VPC内を流れる通信のログを取得する機能。 通信ヘッダー情報を収集可能。

  • 送信元IPアドレス
  • 送信先IPアドレス
  • 送信元ポート
  • 送信先ポート
  • プロトコル
  • 通信の許可/拒否
  • バイト数、バケット数
  • タイムスタンプ

Reachability Analyzer

VPC内の接続性をテスト・トラブルシューティングするツール。 従来なら手動でSecurity GroupやNetwork ACLの設定を確認していた作業を自動化できる。

Network Access Analyzer

VPC全体のネットワーク接続性を分析し、意図しないアクセス経路を発見するツール。

別のネットワークとの接続

VPN

インターネット上で暗号化されたトンネルを作り、安全に通信する技術。

  • サイト間VPN接続
    • 拠点同士を接続
    • オフィス→IPsec VPNトンネル→AWS VPC
  • クライアントVPN
    • 個人のPCから接続
    • 自宅PC→SSL VPNトンネル→AWS VPC
  • VPCピアリング
    • 異なるVPC同士を直接接続
    • VPC間でプライベートIPアドレスを使って通信可能
Discuss on TwitterView on GitHub