週末趣味のAWS VPC Traffic Mirroring

JAWS-UG岡山
週末趣味のAWS
VPC Traffic Mirroring

免責事項
本資料並びにセッションでの発言は私個人の調査や情報
収集および実践に基づいて構成したものです
したがって所属企業やAWS等、私個人以外の如何なるも
のの意見を代表するものではありません
本セッションでの内容に起因して損害が生じた場合におい
ても、発表者はその責任を負うことができません

氏名：難波和生
株式会社リゾーム所属
Twitter:@kazu_0
職業：情報システム部管理者
：サーバ・NWのインフラ担当
：レイヤー０~４まで
好きなAWSサービス
：Transit Gateway/VPC/DX
：Global Accelerator

Today's Agenda
• VPC Traffic Mirroring とは
• 用語の説明
• DEMO
• ユースケースのご紹介

VPC Traffic Mirroring とは
• re:inforce のキーノートで発表
• A learning conference
• focused on cloud security, identity, and compliance

• re:Invent 2019
• Detect network and security anomalies with Traffic Mirroring
(MKT203-R)
トラフィックミラーリングでネットワークとセキュリティの異常を検出
• New York AWS Summit
• Network visibility into the traffic traversing your AWS infrastructure
(SVC213)
AWSインフラストラクチャを通過するトラフィックのネットワーク可視性

• Amazon Virtual Private Cloud (VPC) に流れる
トラフィックを複製し、通信内容をキャプチャーできるサービス
• スイッチのミラーポート
• ネットワークTAP（ Terminal Access Point）
• エージェント不要
ネットワーク
TAP
複製パケット
監視システム

• どんな時につかうの？
• ネットワークおよびセキュリティ上の異常を検出
オープンソースやAWS Market Place のセキュリティソリューションと連携
侵入検知（IDS・Intrusion Detection System）
侵入防止（IPS・Intrusion Prevention System）
ネットワークセキュリティモニタリング（NSM）
• 問題のトラブルシューティング
• tcpdump
• Wireshark

• VPC Flow Logs との違い
• Flow Logs はネットワーク機器の通信ログに近い情報が記録される
送信元や宛先のIPアドレス
ポート番号
トラフィックが拒否 or 許可された結果

• VPC Flow Logs との違い
https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/16

• 用語
• Mirror Source
• Mirror Target
• Mirror Filter
• Mirror Session

• 用語の説明
• Mirror Source
• 複製されるトラフィックの送信元
EC2にアタッチされたENIを指定できる
• Mirror Target
• 複製されたトラフィックの送信先
ENI または NLB （Network Load Balancer）を指定できる

• 用語の説明
• VXLANとは
• https://www.nic.ad.jp/ja/basics/terms/vxlan.html

• 用語の説明
• Mirror Filter
• 複製されたトラフィックから参照したい内容を選択
インバウンド or アウトバウンド、送信元と送信先のポートの範囲
送信元と送信先の CIDR ブロック

• 用語の説明
• Traffic Mirror Session
• 複製トラフィックの送信元・送信先・設定したフィルターの接続セット

• 注意点
• AWS Nitro システムで稼働する EC2 インスタンスにアタッチしたENI
が送信元のトラフィックをミラーリングできます
• A1, C5, C5d, M5 , M5a , M5d , R5 , R5a , R5d , T3 ,および z1d など
• 各インスタンスによって生成された複製トラフィックは、そのインス
タンスで利用可能な帯域幅にカウントされ、トラフィックの遅延が生
じれば、複製されたトラフィックが最初にドロップされる
• 8946 bytes 以上のパケットは切り捨て
• Targets の Security Groups で UDP:4879 （VXLAN）の許可

• 注意点
• ミラートラフィックも通信量にカウントされます
• EC2インスタンスのサイズも要検討

DEMOの構成図
インバウント・アウトバウンド
HTTPアクセスをキャプチャ
VPC
Source EC2
ENI
Target EC2
ENITraffic Mirroring

DEMO
Mirror Source/Mirror Target EC2 の設定
Target EC2
Source EC2
VXLAN:UDP
4789 の許可

DEMO
Mirror Filter (Inbound) の設定

DEMO
Mirror Filter (Outbound) の設定

ユースケースのご紹介

Traffic Mirroring のユースケース

まとめ
Traffic Mirroring の用語説明
Traffic Mirroring の注意点
Traffic Mirroring のユースケース

参考URL
 AWS re:Invent 2019: [REPEAT]
Detect network and security anomalies with Traffic Mirroring (MKT203-R)
https://www.youtube.com/watch?v=UqgVESJc_yc
 VPC トラフィックミラーリング – ネットワークトラフィックを捉えて検査する
https://aws.amazon.com/jp/blogs/news/new-vpc-traffic-mirroring/
 What Is Traffic Mirroring?
https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html
 Network visibility into the traffic traversing your AWS infrastructure
SVC213 - New York AWS Summit
https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-
infrastructure-svc213-new-york-aws-summit
 Simplify Traffic Monitoring and Visibility with Amazon VPC Traffic
AWS ONLINE TECHTALKS
https://pages.awscloud.com/Simplify-Traffic-Monitoring-and-Visibility-with-Amazon-VPC-Traffic-
Mirroring_2019_0705-NET_OD.html?&trk=el_a131L000005vPGfQAM&trkCampaign=July_2019_0705-
NET&sc_channel=el&sc_campaign=pac_Q3-
2019_exlinks_blog_OTT_07DGAB&sc_outcome=Product_Adoption_Campaigns&sc_geo=NAMER&sc_country=mult

ご清聴ありがとうございました

週末趣味のAWS VPC Traffic Mirroring

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a 週末趣味のAWS VPC Traffic Mirroring

Similar a 週末趣味のAWS VPC Traffic Mirroring (20)

Más de Namba Kazuo

Más de Namba Kazuo (6)

週末趣味のAWS VPC Traffic Mirroring