Amazon Web Servicesによる仮想デスクトップサービス～デスクトップも、クラウドで～

Size: px

Start display at page:

Download "Amazon Web Servicesによる仮想デスクトップサービス～デスクトップも、クラウドで～"

まいえひでやま
5 years ago
Views:

1 Amazon VPC (Virtual Private Cloud) 2015/04/15 (2016/01/18 Renewed) AWS Black Belt Tech Webinar 2015 アマゾンデータサービスジャパン株式会社ソリューションアーキテクト吉田英世

2 アジェンダ Amazon VPC 概要ネットワークセキュリティ Webシステム構成ハイブリッド構成 VPC 利用のポイント価格新機能 Q&A

3 イントロダクション AWS 上でインターネットからアクセス可能なアプリケーションを動作させたい AWS 上で社内業務アプリケーションを動作させたいインターネットからアクセスできる領域を制限したい社内とセキュアに接続させたい

4 オンプレミス環境でのネットワークのイメージ AWS 上でネットワークを構築する場合はユーザーが物理的なハードウェアの導入管理を行う必要はありません

5 オンプレミス環境で構築したシステムの例エンドユーザ管理者 LB 踏み台踏み台サーバ経由で各サーバへのリモートログインインターネットからアクセス可能なパブリック領域インターネットから直接アクセスできないプライベート領域管理者 Web Web VPN ルータデータセンターオフィスからのVPN接続 VPN ルータオフィス

6 AWS上でもオンプレミス環境に類似した自社専用の仮想ネットワークを構築可能エンドユーザ管理者 LB 踏み台踏み台サーバを経由で各サーバへのリモートログインインターネットからアクセス可能なPublic Subnet インターネットから直接アクセスできないPrivate Subnet 管理者 Web Web VPN ルータデータセンターオフィスからのVPN接続 VPN ルータオフィス

7 アジェンダ Amazon VPC 概要ネットワークセキュリティハイブリッド構成 VPC 利用のポイント価格 Q&A

8 Amazon VPC AWS 上にプライベートネットワーク空間を構築社内から VPN 接続して閉域網で AWS 利用仮想ネットワーキングオンプレミスとのハイブリッドが簡単に実現 AWS が社内インフラの一部に見える社内システムソフトウェアの移行がより容易に例 : 業務システムバッチ処理ファイルサーバより細やかにネットワーク関連の設定が可能全リージョンで利用可能

9 AWS 上にプライベートのアドレス空間を作成しお客様のインフラを AWS 上に延長する VPN 接続専用線リージョン EC2 VPC 内に分離したサブネットを自由に作成イントラ VPC プライベートサブネットパブリックサブネットゲートウェイ Internet VPN DX

10 VPC を利用するメリット AWS アカウント登録をしたらすぐに利用可能簡単に自社専用の仮想ネットワークを構築可能物理的なデータセンターの利用契約やネットワーク機器の配備は不要インターネットからアクセスできない社内ユーザのみアクセス可能な仮想ネットワークの構築が可能仮想ネットワークの構築自体は無料

EC2-ClassicとVPC EC2-Classic すべてのインスタンスはインターネット接続を持ち

みサポートデフォルト VPCをすべてのリージョンで利用可能 Default VPC VPC アカウント作成後にすで

プライベートIPとパブリックIPが自動で割当てられるユーザ自身でネットワークの設定を行う

0.0/16 サブネットは/20)で固定 http://docs.aws.amazon.

11 EC2-ClassicとVPC EC2-Classic すべてのインスタンスはインターネット接続を持ちプライベートIPとパブリックIPが自動で割当てられる 2013年4月12日以降に作成されたアカウントはVPCのみサポートデフォルト VPCをすべてのリージョンで利用可能 Default VPC VPC アカウント作成後にすでに設定されているVPC VPC上のインスタンスは EC2-Classicと同じようにインターネット接続を持ちプライベートIPとパブリックIPが自動で割当てられるユーザ自身でネットワークの設定を行う各種ネットワーク機能を利用可能削除するとユーザ側では復元できないサポートへの問い合わせが必要 /16 サブネットは/20)で固定 a_jp/amazonvpc/latest/userg uide/default-vpc.html ENI ルーティングテーブルネットワークACL プライベートIPのみの利用

12 VPC の構成要素 VPC インターネットゲートウェイ Customer Gateway Elastic IP 仮想ルータ VPC Peering サブネットバーチャルプライベートゲートウェイ VPN コネクションルートテーブル Elastic ネットワークインタフェース

13 VPC Availability Zone A Availability Zone B VPC CIDR: /16 仮想データセンターをAWS 上に設定 VPC 内で利用するIPアドレスのブロックを設定 - 通常であればプライベートアドレス (RFC1918) を利用 - /28から/16のネットマスクを利用複数のアベイラビリティゾーンを利用可能作成後は VPC アドレスブロックは変更できないので注意!

14 サブネット / /24 Subnet Subnet Availability Zone A Availability Zone B VPC CIDR: /16 VPCのIPアドレス範囲 (CIDR) の中で設定アベイラビリティゾーン毎に設定アクセスコントロールリストによりネットワークレベルでのセキュリティを設定サブネット毎にルーティングを設定最小は /28(14IP) サブネット内の先頭の4つ最後の1つの IP 以外をEC2インスタンス用に利用可能

15 インターネットゲートウェイ AWS Public API Endpoints Internet / /24 Subnet Availability Zone A Internet Gateway Subnet Availability Zone B VPC CIDR: /16 IGW=Internet Gateway EC2インスタンスにインターネットへの接続を提供 VPCにアタッチすることで利用可能サブネットでルーティング指定単一障害点や帯域幅のボトルネックは存在しない

16 バーチャルプライベートゲートウェイ Corporate Data Center / /24 Subnet VPN over the Internet Availability Zone A Customer Gateway Virtual Private Gateway Subnet Availability Zone B VGW=Virtual private Gateway オフィスやデータセンターなどのオンプレミスとのVPN 接続のためのエンドポイントとなる仮想ルータ Direct Connect( 専用線 ) のエンドポイントとしても利用 1つのVPCあたり1つのVGWのみアタッチ可能単一障害点や帯域幅のボトルネックは存在しない VPC CIDR: /16

17 カスタマゲートウェイ Corporate Data Center VPN over the Internet Customer Gateway Virtual Private Gateway CGW=Customer Gateway オンプレミス側のVPN 接続エンドポイントとなる物理または仮想のデバイス通常はファイアウォールまたはルータを利用 / /24 Subnet Availability Zone A Subnet Availability Zone B VPC CIDR: /16

18 仮想ルータ VPC CIDR: /16 デフォルトでは VPC 内のすべてのサブネット間は疎通可能 Instance A /24 Instance B /24 ( 制御したい場合はNACL 利用 ) サブネットのネットワーク Public Subnet.1.1 Public Subnet アドレス +1(.1) がすべてのサブネットのゲートウェイと Instance C / Instance D /24 なる Private Subnet Private Subnet Availability Zone A Availability Zone B

19 VPN コネクション Corporate Data Center VPN over the Internet Customer Gateway Virtual Private Gateway / /24 VPCとオンプレミス間のVPN 接続 CGWとVGWの間でIPsecトンネルが設定される 1つのCGW(1つのパブリックIP) に対し 1つのVPNコネクションが設定される 1つのVPCに対しては複数のVPN コネクションが設定可能 Subnet Availability Zone A Subnet Availability Zone B VPC CIDR: /16

20 ルートテーブル AWS Public API Endpoints / /24 Subnet Availability Zone A Route Table Destination Internet Target Internet Gateway Subnet Availability Zone B VPC CIDR: /16 どのネットワークに対する通信がどこに対して転送されるべきかの定義を記述 ( 例 : インターネットへの通信はIGW) 各サブネットに1つ設定 1つのルーティングテーブルには複数のサブネットが設定可能デフォルトではメインルートテーブルが設定 /16 local /0 igw

21 Elastic IP AWS Public API Endpoints EIP Subnet: /24 Availability Zone A Route Table Destination Internet Target /16 local /0 igw Internet Gateway EIP Subnet: /24 Availability Zone B VPC CIDR: /16 EIP=Elastic IP アカウントに紐付けられる固定のパブリック IP EC2 インスタンスに割り当て可能 EC2 インスタンスに関連づけられた 1 つめの EIP には課金されない課金されるケース - 追加で EIP を利用する場合 - 起動中の EC2 インスタンスに割当てられていない場合 - アタッチされていない ENI に割当てられている場合 - 1 ヶ月間でリマップ ( 割当て取り外し ) が 100 回を超えた場合

22 Elastic ネットワークインタフェース Internet AWS Public API Endpoints Internet Gateway ENI (eth0) ENI (eth0) Subnet: /24 Subnet: /24 Availability Zone A Route Table Availability Zone B VPC CIDR: /16 Destination Target /16 local /0 igw ENI=Elastic Network Interface EC2インスンタンス毎に仮想ネットワークインタフェースを複数持つことが可能以下をENIに紐づけて維持可能プライベートIP Elastic IP MACアドレスセキュリティグループインスタンスによって割当て数が異なる

23 VPC Peering (VPC ピア接続 ) VPC CIDR: /16 VPC CIDR: /16 pcx-xxxxxx Subnet: /24 Subnet: /24 Availability Zone A Availability Zone A Route Table Route Table Destination Target /16 local /0 pcx-xxxxxx VPC CIDR: Destination /16 Target /16 local /0 pcx-xxxxxx プライベートIPアドレスを利用して 2つのVPC 間でトラフィックのルーティングが可能同一のAWSアカウントはもちろん異なるAWSアカウント間 ( クロスアカウント ) のVPC 間をピア接続することも可能単一障害点や帯域幅のボトルネックは存在しない MTU に注意 (VPC Peering は 1,500)

24 アジェンダ Amazon VPC 概要ネットワークセキュリティ Webシステム構成ハイブリッド構成 VPC 利用のポイント価格 Q&A

25 ネットワークアクセスコントロールリスト VPC Subnet with ACL Availability Zone A VPC Subnet with ACL Availability Zone B NACL=Network Access Control List サブネット毎に設定するフィルタ機能インバウンドアウトバウンドをサブネット毎に制御ステートレスデフォルトはすべて許可

セキュリティグループ Subnet: 10.1.1.0/24 Availability Zone A Subnet: 10.1.10.0/24 Availability Zone B VPC CIDR: 10.

ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをグルーピング可能 http://docs.aws.amazon.

26 セキュリティグループ Subnet: /24 Availability Zone A Subnet: /24 Availability Zone B VPC CIDR: /16 EC2インスタンスの仮想ファイアウォールとして機能 1つのEC2インスタンスあたり5つのセキュリティグループを設定可能ステートフルデフォルトですべての通信は禁止複数のEC2インスタンスをグルーピング可能

27 VPC セキュリティコントロール VPC /16 Route Table Internet Gateway Virtual Router Route Table Virtual Private Gateway

28 Network ACL vs セキュリティグループ Network ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので戻りのトラフィックも明示的に許可設定する番号の順序通りに適用サブネット内のすべてのインスタンスが ACL の管理下に入るセキュリティグループサーバレベルで効果 Allow のみを IN OUT で指定可能 ( ホワイトリスト型 ) ステートフルなので戻りのトラフィックを考慮しなくてよい全てのルールを適用インスタンス管理者がセキュリティグループを適用すればその管理下になる

29 アジェンダ Amazon VPC 概要ネットワークセキュリティ Webシステム構成ハイブリッド構成 VPC 利用のポイント価格 Q&A

30 Web システムの構成のポイント Web サーバなどインターネットと直接通信が必要なリソースはパブリックのサブネットへ配置オンプレミスで DMZ に置かれていたリソースセキュリティグループを利用して必要な通信を許可データベースなどインターネットと直接通信が不要なリソースはプライベートのサブネットへ配置オンプレミスでセキュアネットワークに置かれていたリソースセキュリティグループを利用してパブリックサブネット上のリソースからの通信のみを許可パッチの適用などでインターネット通信が必要な場合は NAT インスタンスを配置 ( 後述 ) アーキテクチャセンター :

31 シンプルな Web 構成 Internet Public Subnet: /24 Web サーバ PrivateSubnet: /24 Availability Zone A データベースサーバ VPC CIDR: /16

ロードバランサ + マルチ AZ を利用した Web 構成 Internet Public Subnet: 10.1.1.0/24 Public Subnet: 10.1.2.0/24 Web サーバ PrivateSubnet: 10.

32 ロードバランサ + マルチ AZ を利用した Web 構成 Internet Public Subnet: /24 Public Subnet: /24 Web サーバ PrivateSubnet: /24 Availability Zone A PrivateSubnet: /24 Availability Zone B データベースサーバ VPC CIDR: /16

33 アジェンダ Amazon VPC 概要ネットワークセキュリティ Webシステム構成ハイブリッド構成 VPC 利用のポイント価格 Q&A

34 VPC とオンプレミスのネットワーク接続方法 2 通りの接続方法インターネット VPN 接続 (IPsec) AWS Direct Connect を使った専用線接続 EC2 インスタンス上に VPN ソフトウェアを動作させることで VPN 接続も可能

35 VPN (Virtual Private Network) IPsec による VPN を利用トンネルモード暗号化 :AES128bit ルーティングプロトコルが選択可能 BGP(Border Gateway Protocol) 推奨スタティックルートオンプレミス側はカスタマゲートウェイが必要インターネットと直接通信可能なパブリック IP が利用できること暗号化処理前にフラグメント可能であること IPsec Dead peer Detection が利用できること ( オプション )

36 VPN 対応機器リスト静的ルーティングを使用する場合 Cisco ASA 500 シリーズバーション 8.2 移行 Cico ISR (IOS 12.4 以降 ) SonicOS5.8 以降を実行する Dell SonicWALL 次世代ファイアウォール (TZ,NSA,SuperMassive シリーズ ) Juniper J シリーズサービスルーター (JunOS 9.5 以降 ) Juniper SRX シリーズサービスゲートウェイ (JunOS 9.5 以降 ) ScreenOS 6.1 もしくは 6.2( またはそれ以降 ) の Juniper SSG/ISG Microsoft Windows Server 2008 R2 以降ヤマハ RTX1200 ルーター動的ルーティングを使用する場合 Astaro Security Gateway/Security Gateway Essential Firewall Edition バージョン 8.3 以降 Cisco ISR (IOS 12.4 以降 ) SonicOS5.9 以降を実行する Dell SonicWALL 次世代ファイアウォール (TZ,NSA,SuperMassive シリーズ ) Fortinet Fortigate 40+ シリーズ (FortiOS 4.0 以降 ) Juniper J シリーズサービスルーター (JunOS 9.5 以降 ) Juniper SRX シリーズサービスゲートウェイ (JunOS 9.5 以降 ) ScreenOS 6.1 もしくは 6.2( またはそれ以降 ) の Juniper SSG/ISG Palo Alto Networks PA シリーズ (PANOS 以降 ) Vyatta network OS 6.5 以降ヤマハ RTX1200 ルーター

カスタマゲートウェイのコンフィグレーション http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/networkadminguide/introduction.html! --------------------------------------------------------------------------------!

! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by!

37 カスタマゲートウェイのコンフィグレーション ! IPSec Tunnel #1! ! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.! crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime hash sha exit! The ISAKMP keyring stores the Pre Shared Key used to authenticate the! tunnel endpoints.!

38 VPN 構成例 ( シングル接続 ) Virtual Private Cloud Availability Zone VPC Subnet Availability Zone VPC Subnet Router Virtual Private Gateway Router Tunnel 1 Tunnel 2 IPSEC VPN IPSEC VPN Customer Gateway xxx.xxx.xxx.xxx Customer Network

39 VPN 構成例 ( カスタマゲートウェイ冗長化 ) Virtual Private Cloud Availability Zone VPC Subnet Availability Zone VPC Subnet Router Tunnel 1 Virtual Private Gateway Router Tunnel 2 Tunnel 2 Tunnel 2 Tunnel 2 Tunnel 1 Customer Gateway xxx.xxx.xxx.xxx Customer Network Customer Gateway xxx.xxx.xxx.yyy

VPC Subnet VPN Customer Network Chicago VPN Customer Gateway

40 マルチ VPN コネクション Customer Gateway VPN Customer Network Los Angeles Customer Gateway Availability Zone VPC Subnet Availability Zone VPC Subnet VPN Customer Network Chicago VPN Customer Gateway Router Virtual Private Cloud Virtual Private Gateway Customer Network New York

41 AWS Direct Connect AWS とお客様設備 ( データセンターオフィスまたはコロケーション ) の間に専用線を利用したプライベート接続を提供するサービス AWS Cloud EC2, S3 などの Public サービス専用線サービス相互接続ポイントお客様 Amazon VPC

42 AWS Direct ConnectによるVPC接続 AWS Region QA Prod Dev AWS Public API Endpoints Public-Facing Web App Internal Company Apps PVI1 PVI2 Internal Company Apps PVI3 PVI4 Internal Company Apps PVI5 AWS Direct Connect のプライベート仮想インタフェースはVPC上のVGWに接続 1プライベート仮想インタフェースあたり 1VPC VLANで分割キャリア様の専用線でDirect Connectの相互接続ポイントとお客様拠点を接続 AWS Direct Connect location Customer Data Center

VPN と Direct Connect による冗長構成 Virtual Private Cloud BGP によるルーティングを推奨 Availability Zone VPC Subnet Availability Zone VPC Subnet 通常時は Direct Connect を利用 Router 72.21.209.

43 VPN と Direct Connect による冗長構成 Virtual Private Cloud BGP によるルーティングを推奨 Availability Zone VPC Subnet Availability Zone VPC Subnet 通常時は Direct Connect を利用 Router Tunnel 1 Virtual Private Gateway Router Tunnel 2 Tunnel 2 Tunnel 2 Tunnel 2 Tunnel 1 Customer Gateway xxx.xxx.xxx.xxx Customer Network Customer Gateway xxx.xxx.xxx.yyy Customer Gateway xxx.xxx.xxx.aaa Customer Gateway xxx.xxx.xxx.bbb

44 アジェンダ Amazon VPC 概要ネットワークセキュリティ Webシステム構成ハイブリッド構成 VPC 利用のポイント価格 Q&A

45 VPC 内の DHCP ENI (eth0) VPC Subnet DHCP 機能 MAC アドレスプライベート IP の割当て EC2インスタンスが利用するプライベートIP MACアドレスはVPC 内の DHCP 機能 ( サブネットのネットワークアドレス +2) により割当てられるホスト名を割り当てることはできないプライベートIPを固定にした場合 DHCP 経由で該当のIPが割当てられる (EC2インスタンスのOS 上のNIC 設定はDHCP 設定とする )

46 DHCP Option Set VPC の DHCP 機能の設定変更が可能パラメータ domain-name domain-name-serversdns ntp-servers netbios-name-servers netbios-node-type 内容ドメイン名の指定 DNSサーバの指定 NTPサーバの指定 NetBIOSサーバの指定 NetBIOSノードタイプ

47 Amazon DNS サーバー Corporate Data Center Amazon Provided DNS Subnet Availability Zone A Amazon Provided DNS / /24 Subnet Availability Zone B VPC のネットワーク範囲 (CIDR) のアドレスに +2 をプラスした IP ( /16 の場合は ) VPC 内の EC2 インスタンスからのみ参照可能 (VPN などで接続されているオンプレミスからは参照不可 ) VPC CIDR: /16

48 DNS設定 VPC内のDNS関連の設定 Enable DNS resolution. 基本はyesとする NoにするとVPCのDNS機能が無効となる Enable DNS hostname TrueにするとDNS名が割り当てられる Enable DNS resolution をtrueにしないと有効にならない

49 インターネット接続パブリックIPの割当てサブネットで Auto-Assign Public IP を有効にし EC2インスタンスにパブリックIP 動的を割り当てる Internet Internet Gateway 54.xxx.xxx.xxx パブリックIP を自動割当て Route Table Private Subnet: /24 Availability Zone A Destination Target /16 local /0 igw

インターネット接続 Elastic IPの割当て EC2インスタンスにElastic IP 固定パブリックIP)をを割り当てる Internet Internet Gateway 54.xxx.xxx.xxx パブリックIPを固定で割当て EIP 10.

50 インターネット接続 Elastic IPの割当て EC2インスタンスにElastic IP 固定パブリックIP)をを割り当てる Internet Internet Gateway 54.xxx.xxx.xxx パブリックIPを固定で割当て EIP Route Table Private Subnet: /24 Availability Zone A Destination Target /16 local /0 igw

インターネット接続 NATインスタンスインターネットと直接通信できないプライベートネットワークに対し Internet AWS Public インターネットへの経路を確保する API Endpoints Internet プライベートネットワークの Gateway VPC CIDR: 10.

51 インターネット接続 NATインスタンスインターネットと直接通信できないプライベートネットワークに対し Internet AWS Public インターネットへの経路を確保する API Endpoints Internet プライベートネットワークの Gateway VPC CIDR: /16 ルーティングテーブルでデフォルトルートをNATインスタンスに向ける AWS上にNAT用のEC2 AMIありパッチダウンロードやAWSクラウド Public Subnet: Private Subnet: 上のサービス(S3など)へのアクセス / /24 Availability Zone A Availability Zone B 確保に利用 Route Table Route Table 高可用性を別途検討 Destination Target Destination Target /16 local /16 local /0 igw /0 NAT

52 インターネット接続オンプレミス経由専用線(Dicrect Connect)などでお客様のオンプレミス拠点を接続しインターネットトラフィックをオンプレミス経由とする専用線 Direct Connect Internet Private Subnet: /24 Availability Zone A Route Table Destination Target /16 local /0 vgw お客様拠点

instances Amazon DynamoDB Internet gateway ElastiCache node RDS DB

53 プライベートサブネットからAWSクラウドへのアクセスプライベートサブネットから VPC外にエンドポイントがあるサービスにアクセスするためにインターネット接続が必要 VPC subnet Elastic Load Balancing Amazon S3 EC2 instances Amazon DynamoDB Internet gateway ElastiCache node RDS DB instance virtual private cloud RDS DB instance standby (Multi-AZ) Amazon Simple Queue Service

VPC 内の特定ルートの設定は不可 VPC CIDR: 10.1.0.0 /16 Instance A 10.1.1.11 /24 Public Subnet Instance B 10.

1.3.33 /24 Availability Zone A Target 10.1.0.0/16 local 10.1.1.0/24 InstanceB Instance D 10.

54 VPC 内の特定ルートの設定は不可 VPC CIDR: /16 Instance A /24 Public Subnet Instance B /24 Public Subnet Private Subnet Route Table Destination Instance C /24 Availability Zone A Target /16 local /24 InstanceB Instance D /24 Private Subnet Availability Zone B

55 注意すべきネットワーク構成 VPN AWS Direct Connect VPC Peeringでの接続においては以下のように2ホップ以上先のネットワークとの通信はできない /16 C / /16 C / /16

56 ENI の便利な利用例 HA 構成時のフェイルオーバーメール送信サーバ (SMTP リレー用 ) ENI ENI ENI VPC subnet ENI ENI 異なる IP からメール送信 ENI ENI の付け替え VPC subnet VPC subnet ENI ENI は AZ をまたぐことはできないので要注意

VPC のリミット関連デフォルトの上限値が増加したものもあり http://docs.aws.

com/amazonv PC/latest/UserGuide/VPC_Appendix_Lim its.

57 VPC のリミット関連デフォルトの上限値が増加したものもあり PC/latest/UserGuide/VPC_Appendix_Lim its.html Web サイトから制限解除申請可能不明点は AWS サポートや担当営業までお問い合わせください

58 ブロードキャストとマルチキャストブロードキャストとマルチキャストはVPC内で通信できないため GREまたはL2TPのトンネル等によりオーバーレイで実装する必要がある App1, / App1, / App1, / Subnet /20 Subnet /20

59 VPC を分割するケース ( 例 ) アプリケーションによる分割監査のスコープによる分割リスクレベルによる分割本番 / 検証 / 開発部署による分割共通サービスの切り出し

60 共通サービスの VPC Peering 利用 AWS region Public-facing web app Internal company app #1 Internal company Dev Internal company app #2 Services VPC AD, DNS Monitoring Logging Internal company app #3 Internal company app #4 Internal company QA 以下のような共通サービス用 VPC-A を中心にサービス用 VPC をスター型に配置ログ収集モニタリングリモート管理スキャニング company data center HA pair VPN endpoints

ソフトウェアファイアウォールの利用 marketplaceから ISVパートナーの製品を選択可能

1.0.0 /16 Public Subnet: 10.1.1.0/24 Availability

1.10.0/24 Availability Zone B Route Table Destination

61 ソフトウェアファイアウォールの利用 marketplaceから ISVパートナーの製品を選択可能 Internet Internet Gateway VPC CIDR: /16 Public Subnet: /24 Availability Zone A Route Table Private Subnet: /24 Availability Zone B Route Table Destination Target Destination Target /16 local /16 local /0 igw /0 NAT/F W

1.0.0/24 インターネット VPN シンガポールリージョン Public Subnet: 10.2.0.0/24 Private Subnet: 10.

62 リージョン間の VPC 間接続例ソフトウェア VPN ルータを EC2 で構築しインターネット VPN で接続東京リージョン Public Subnet: /24 インターネット VPN シンガポールリージョン Public Subnet: /24 Private Subnet: /24 Availability Zone A Private Subnet: /24 Availability Zone A

63 EC2-Classic から VPC への移行 (ClassicLink) ELB Amazon Route 53 VPC 上の RDS を参照可能 DNS により並行運用 or 切り替え EC2-Classic から VPC へのシームレスな接続環境を提供 EC2-Classic 上のインスタンスを VPC 上のセキュリティグループへ追加することが可能 EC2-Classic から VPC への移行に利用 RDS DB Instance RDS DB Instance EC2-Classic データベース移行 VPC

64 アジェンダ Amazon VPC 概要ネットワークセキュリティ Webシステム構成ハイブリッド構成 VPC 利用のポイント価格 Q&A

65 VPC の価格 VPC の利用は無料 VPN を利用する場合は 1 時間あたり $0.05/VPN 接続 ( 4,500/ 月 1$=120 円 ) トラフィックはデータ転送量に応じて VPC からみたアウトバウンドに対して課金

66 VPC 環境の通信費用 ( 東京リージョン ) Internet ELB S3, Glacier, Dynamo, etc In: $0.00 Out: $0.00 In: $0.00 Out: $0.140~ In: $0.00 Out: $0.09 ELB Private IP In: $0.00 Out: $0.00 Public IP In: $0.01 Out: $0.01 In: $0.00 Out: $0.042 Direct Connect Other Region Cloudfront In: $0.00 Out: $0.00 Availability Zone In: $0.01 Out: $0.01 Availability Zone VPN Connection In: $0.00 Out: $0.140~

67 アジェンダ Amazon VPC 概要ネットワークセキュリティ Web システム構成ハイブリッド構成 VPC 利用のポイント価格新機能 Q&A

68 新機能 (VPC エンドポイント )

69 新機能 :S3 の VPC エンドポイント Route Table Destination Target /16 local S3 Prefix pl-xxxxxxxx vpc endpoint Private Subnet: /24 Availability Zone A vpce-xxxxxxxx VPCエンドポイントをVPCに作成しプライベートサブネットからAWS クラウド上のS3バケットにアクセスが可能 VPCエンドポイントを作成しルートテーブルの宛先にS3のプレフィックスターゲットにVPCエンドポイントを指定することでS3への通信がVPC エンドポイントを経由 VPCエンドポイントポリシーでアクセス制御が可能追加費用なし ( トラフィック課金もなし ) pl-xxxxxxxx vpce-xxxxxxxx

70 新しいオブジェクトサービスのプレフィックスリストID (pl-xxxxxxxxx) 宛先のAWSクラウド上のサービスを特定するためのID 該当のサービスで利用されているパブリックIPの集まりルートテーブルの宛先やセキュリティグループのOutboundの宛先に指定プレフィックスリスト名は com.amazonaws.<region>.s3 VPCエンドポイントID (vpce-xxxxxxxxx) VPCエンドポイントを作成したら生成されるオブジェクトルートテーブルのターゲットに設定エンドポイントポリシー VPCエンドポイントへアクセスを許可するためのポリシー

71 VPC エンドポイントのメリット S3 アクセスのためのインターネットゲートウェイや NAT インスタンスが不要 NAT インスタンスの冗長化も考慮しなくて良い NAT インスタンスの性能に影響を受けない安全高い信頼性設定が簡単 (2 ステップのみ ) 今後対象サービスの追加予定

72 注意事項ネットワーク ACL の宛先にプレフィックスリスト ID を指定することはできない VPC が稼働中のリージョンと異なるリージョンを接続することはできないタグは未対応 VPC エンドポイントは移動できない VPN AWS Direct Connect VPC Peering ClassicLink の接続先から VPC エンドポイントを利用することはできない S3 のバケットポリシー /IAM ポリシーで VPC 内のプライベート IP を記述することはできない ( エンドポイントの記述は可能 )

移行について既存のVPCにエンドポイントを追加するだけでOK 一つのルートテーブルにインターネット向けとサービスプレフィックス向けの経路がある場合サービスプレフィックス向けを優先ロンゲストマッチ VPCエンドポイント作成時 S3へ接続中の通信は一時的に影響を受ける NATインスタンスと並用可能 Public Subnet: 10.

73 移行について既存のVPCにエンドポイントを追加するだけでOK 一つのルートテーブルにインターネット向けとサービスプレフィックス向けの経路がある場合サービスプレフィックス向けを優先ロンゲストマッチ VPCエンドポイント作成時 S3へ接続中の通信は一時的に影響を受ける NATインスタンスと並用可能 Public Subnet: /24 S3 Prefix vpc endpoint Route Table pl-xxxxxxxx vpce-xxxxxxxx Destination Target /16 local /0 NATインスタンス pl-xxxxxxxx vpce-xxxxxxxx Private Subnet: /24 Availability Zone A VPC endpointを優先

74 新機能 (VPC Flow Logs)

75 VPC Flow Logs とはネットワークトラフィックをキャプチャし CloudWatch Logs へ Publish する機能ネットワークインタフェースを送信元 / 送信先とするトラフィックが対象セキュリティグループとネットワーク ACL のルールで accepted/reject されたトラフィックログを取得キャプチャウインドウと言われる時間枠 ( 約 10 分間 ) で収集プロセッシング保存 RDS, Redshift ElasticCache WorkSpaces のネットワークインタフェーストラフィックも取得可能追加料金はなし (CloudWatch Logs の標準料金は課金 )

76 VPC Flow Logs のユースケースネットワークのトラブルシュート疎通ができないのはネットワーク設定の影響? ネットワークトラフィックの監査いつどの通信元からどのようなアクセスがあったか? ネットワークトラフィック監視不正な通信を検知してアラートネットワークトラフィック統計情報プロトコル別通信元 IP 別

77 構成イメージ CloudWatch Logs Log Stream Log Group VPC VPC Flow Logs セキュリティグループネットワーク ACL ネットワークインタフェース (ENI)

78 Flow Log レコードの項目フィールド説明 version VPC flow logsのバージョン account-id flow logを取得したawsアカウント interface-id ログストリームが適用されているネットワークインタフェースのID srcaddr 送信元アドレス ( ) dsraddr 送信先アドレス ( ) srcport 送信元ポート dsrport 送信先ポート protocol IANAで定義されたプロトコル番号 packets キャプチャウインドウの中で取得したパケット数 bytes start end action log-status キャプチャウインドウの中で取得したバイト数キャプチャウインドウ開始時のUNIX 時間キャプチャウインドウ終了時のUNIX 時間トラフィックのアクション (ACCEPT/REJECT) ログステータス (OK/NODATA/SKIPDATA) Flow Log レコード :

79 実際のレコード eni-abc123de Version account-id interface-id srcaddr dsraddr srcport dstport protocol packet bytes REJECT OK start end action log-status

80 その他のレコード該当のキャプチャウインドウにデータが存在しなかった場合 eni-1a2b3c4d NODATA 内部のキャパシティ不足やエラーによりキャプチャをスキップした場合 eni-4b SKIPDATA

81 VPC Flow Logs で取得しないトラフィック EC2 インスタンスから Amazon DNS サーバへのトラフィック Windows インスタンスから Amazon Windows ライセンスアクティベーションへのトラフィックインスタンスメタデータ ( ) とのトラフィック DHCP トラフィック

82 VPC Flow Logs の注意事項 EC2-Classic 環境では利用できない (ClassicLink を利用している EC2 インスタンスも含む ) Flow Log 作成後は IAM Role などの設定変更はできない ( 再作成となる ) ネットワークインタフェース上の IP アドレスはプライベート IP 表示リアルタイムではない ( キャプチャから Log Stream への反映は数分 )

83 VPC Flow Logs の作成 VPC サブネットネットワークインタフェース

84 VPC Flow Logs の作成 :CloudWatch Logs の Log Group は事前に準備しておく

85 VPC Flow Log の一覧

86 CloudWatch 上の Log Group と Log Stream

87 レコードの確認

88 利用例 :CloudWatch メトリックフィルターとアラート作成 22/tcp(SSH) で REJECT された通信をフィルタ [version, account, eni, source, destination, srcip, destip="22", protocol="6", packets, bytes, windowstart, windowend, action="reject", flowlogstatus] CloudWatch Logs Metric Filter 作成 CloudWatch Logs の Metric Filter で監視トラフィックログ収集アラート通知 VPC CloudWatch アラート

89 利用例 :Elasticsearch + kibana による可視化 API でイベントを取り出す整形して Elasticsearch へ PUT VPC CloudWatch Logs AWS SDK など Elasticsearch kibana

90 よくある質問 Q. セキュリティグループとネットワーク ACL のどちらで取得されたログか判別できますか? A. できません Q. パケットの中身を見ることはできますか? A. ペイロードの中身を見ることはできません Q. どれくらいの期間保存しておくことが可能ですか? A. CloudWatch Logs により永久保存が可能です

91 新機能 (NAT Gateway)

92 NAT Gateway とは? 高パフォーマンス ( 最大 10Gbpsバースト ) 高可用性 ( ビルトインで冗長化 ) AWSによるマネージドNATサービス EIPの割当て可能 Flow Logsによるトラフィックログ取得可能 TCP,UDP,ICMP 通信をサポートネットワークACLによるアクセスコントロール CloudTrailのサポート

93 NAT Gateway 導入のメリットマネージドのため運用コストが低い高いパフォーマンス既存 NATインスタンスからの移行も簡単既存 EIPも流用可能

94 従来の NAT インスタンスのベストプラクティス monitor Monitor NAT Instance Public Subnet 1 0/0 NAT-A NAT Instance Public Subnet 2 NAT インスタンスのモニタリングの仕組みを用意ルートテーブルの書き換えのスクリプト NAT インスタンスのスケールアウトも考慮 Private Subnet 1 0/0 NAT-B Private Subnet 2 Availability Zone 1 VPC Availability Zone 2

95 NAT Gateway のベストプラクティス NAT Gateway Public Subnet 1 0/0 NAT-A NAT Gateway Public Subnet 2 0/0 NAT-B NAT Gateway を各 AZ のパブリックサブネットに作成各 AZ のプライベートサブネットにそれぞれルートテーブルを作成し同じ AZ 内の NAT Gateway にデフォルトルートを設定 Private Subnet 1 Private Subnet 2 AZ レベルの障害に対応 Availability Zone 1 VPC Availability Zone 2

96 価格 NAT Gateway の利用時間 Gigaバイト毎のデータ処理 + + データ転送量 Region: IAD PDX SFO DUB SIN SYD NRT FRA Price per NAT gateway ($/hour): Price per GB data processed ($):

97 NAT Gateway vs NAT インスタンス項目 NAT Gateway NAT インスタンス可用性各 AZ の NAT Gateway は冗長化されているスクリプトを利用して NAT インスタンス単位でフェールオーバー帯域 10Gbps( バースト ) までインスタンスタイプによるメンテナンス AWS のマネージドユーザにてメンテナンスコスト利用時間 NAT を経由したデータ量 ( プロセス ) に課金利用時間

98 NAT Gateway の作成は 2 ステップのみ

99 まとめ VPC を利用することでさまざまな要件に合わせたネットワークを簡単に作成することが可能複数の AZ を利用することで高い可用性を維持することが可能 VPN や Direct Connect( 専用線 ) とオンプレミスを利用したハイブリッド構成でそれぞれの長所を活かしたシステムを構築することが可能新機能を活用し負担の少ないネットワーク運用が可能

100 参考資料 Amazon VPC Amazon VPC ドキュメント初心者向け Webinar AWS 上でのネットワーク構築 Amazon VPC VPN 接続設定参考資料 AWS Marketplace

101 アジェンダ Amazon VPC 概要ネットワークセキュリティ Webシステム構成ハイブリッド構成 VPC 利用のポイント価格 Q&A

102 Q&A 次回 Webinar のお申し込み AWS Summit Tokyo 2015 参加登録受付中!

103 Webinar資料の配置場所 AWS クラウドサービス活用資料集

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_jp 検索もしくは

104 公式 Twitter/Facebook AWS 検索もしくは最新技術情報イベント情報お役立ち情報お得なキャンペーン情報などを日々更新しています!

105 AWS 初心者向け Webinar AWS をこれからご使用になる向けのソリューションカットのオンラインセミナー今後の配信予定 4/23( 木 ) 利用者が実施する AWS 上でのセキュリティ対策 18 時 ~19 時 15 分の時間帯です! 申し込みサイト

106 次回の AWS Black Belt Tech Webinar は 4 月 22 日 18:00~ Amazon S3

107 ご参加ありがとうございました

そこが知りたい！AWSクラウドのセキュリティ

そこが知りたい！AWSクラウドのセキュリティそこが知りたい! AWS クラウドのセキュリティ #AWSRoadshow 1 Twitter で AWS Cloud Roadshow に参加しよう! #AWSRoadshow 皆さんのご意見聞かせてください! 公式アカウント @awscloud_jp 最新技術情報イベント情報お得なクーポン情報など日々更新中! 2 自己紹介名前:鈴木宏昌スズキヒロアキ所属:AWSテクニカルトレーナー

Amazon Web Servicesによる 仮想デスクトップサービス ～デスクトップも、クラウドで～

Amazon Web Servicesによる仮想デスクトップサービス～デスクトップも、クラウドで～