週末趣味のAWS VPC Traffic Mirroring

JAWS-UG岡山 週末趣味のAWS VPC Traffic Mirroring

免責事項 本資料並びにセッションでの発言は私個人の調査や情報 収集および実践に基づいて構成したものです したがって所属企業やAWS等、私個人以外の如何なるも のの意見を代表するものではありません 本セッションでの内容に起因して損害が生じた場合におい ても、発表者はその責任を負うことができません

氏名：難波 和生 株式会社リゾーム 所属 Twitter:@kazu_0 職業：情報システム部 管理者 ：サーバ・NWのインフラ担当 ：レイヤー ０~４ まで 好きなAWSサービス ：Transit Gateway/VPC/DX ：Global Accelerator

Today's Agenda • VPC Traffic Mirroring とは • 用語の説明 • DEMO • ユースケースのご紹介

VPC Traffic Mirroring とは • re:inforce のキーノートで発表 • A learning conference • focused on cloud security, identity, and compliance

VPC Traffic Mirroring とは • re:Invent 2019 • Detect network and security anomalies with Traffic Mirroring (MKT203-R) トラフィックミラーリングでネットワークとセキュリティの異常を検出 • New York AWS Summit • Network visibility into the traffic traversing your AWS infrastructure (SVC213) AWSインフラストラクチャを通過するトラフィックのネットワーク可視性

VPC Traffic Mirroring とは • Amazon Virtual Private Cloud (VPC) に流れる トラフィックを複製し、通信内容をキャプチャーできるサービス • スイッチのミラーポート • ネットワークTAP（ Terminal Access Point） 監視システム • エージェント不要 ネットワーク TAP 複製パケット

VPC Traffic Mirroring とは • どんな時につかうの？ • ネットワークおよびセキュリティ上の異常を検出 オープンソースやAWS Market Place のセキュリティソリューションと連携 侵入検知（IDS・Intrusion Detection System） 侵入防止（IPS・Intrusion Prevention System） ネットワークセキュリティモニタリング（NSM） • 問題のトラブルシューティング • tcpdump • Wireshark

VPC Traffic Mirroring とは • VPC Flow Logs との違い • Flow Logs はネットワーク機器の通信ログに近い情報が記録される ➢送信元や宛先のIPアドレス ➢ポート番号 ➢トラフィックが 拒否 or 許可 された結果

VPC Traffic Mirroring とは • VPC Flow Logs との違い https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/16

• https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/16

VPC Traffic Mirroring とは • 用語 • Mirror Source • Mirror Target • Mirror Filter • Mirror Session

VPC Traffic Mirroring とは • 用語の説明 • Mirror Source • 複製されるトラフィックの送信元 EC2にアタッチされたENIを指定できる • Mirror Target • 複製されたトラフィックの送信先 ENI または NLB （Network Load Balancer）を指定できる

VPC Traffic Mirroring とは • 用語の説明 • VXLANとは • https://www.nic.ad.jp/ja/basics/terms/vxlan.html

• https://www.nic.ad.jp/ja/basics/terms/vxlan.html

VPC Traffic Mirroring とは • 用語の説明 • Mirror Filter • 複製されたトラフィックから参照したい内容を選択 インバウンド or アウトバウンド、送信元と送信先のポートの範囲 送信元と送信先の CIDR ブロック https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/39

• https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/39

VPC Traffic Mirroring とは • 用語の説明 • Traffic Mirror Session • 複製トラフィックの送信元・送信先・設定したフィルターの接続セット https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/43

• https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/43

VPC Traffic Mirroring とは • 注意点 • AWS Nitro システムで稼働する EC2 インスタンスにアタッチしたENI が送信元のトラフィックをミラーリングできます • A1, C5, C5d, M5 , M5a , M5d , R5 , R5a , R5d , T3 ,および z1d など • 各インスタンスによって生成された複製トラフィックは、そのインス タンスで利用可能な帯域幅にカウントされ、トラフィックの遅延が生 じれば、複製されたトラフィックが最初にドロップされる • 8946 bytes 以上のパケットは切り捨て • Targets の Security Groups で UDP:4879 （VXLAN）の許可

VPC Traffic Mirroring とは • 注意点 • ミラートラフィックも通信量にカウントされます • EC2インスタンスのサイズも要検討

VPC Traffic Mirroring DEMO

DEMOの 構成図 インバウント・アウトバウンド HTTPアクセス をキャプチャ VPC ENI Traffic Mirroring Source EC2 ENI Target EC2

DEMO Mirror Source/Mirror Target EC2 の設定 Target EC2 Source EC2 VXLAN:UDP 4789 の許可

DEMO Mirror Filter (Inbound) の設定

DEMO Mirror Filter (Outbound) の設定

DEMO

VPC Traffic Mirroring ユースケースのご紹介

Traffic Mirroring のユースケース https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/58

• https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/58

Traffic Mirroring のユースケース https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/96

• https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit/96

まとめ ◆Traffic Mirroring の用語説明 ◆Traffic Mirroring の注意点 ◆Traffic Mirroring のユースケース

参考URL ◆ AWS re:Invent 2019: [REPEAT] Detect network and security anomalies with Traffic Mirroring (MKT203-R) https://www.youtube.com/watch?v=UqgVESJc_yc ◆ VPC トラフィックミラーリング – ネットワークトラフィックを捉えて検査する https://aws.amazon.com/jp/blogs/news/new-vpc-traffic-mirroring/ ◆ What Is Traffic Mirroring? https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html ◆ Network visibility into the traffic traversing your AWS infrastructure SVC213 - New York AWS Summit https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-awsinfrastructure-svc213-new-york-aws-summit ◆ Simplify Traffic Monitoring and Visibility with Amazon VPC Traffic AWS ONLINE TECHTALKS https://pages.awscloud.com/Simplify-Traffic-Monitoring-and-Visibility-with-Amazon-VPC-TrafficMirroring_2019_0705-NET_OD.html?&trk=el_a131L000005vPGfQAM&trkCampaign=July_2019_0705NET&sc_channel=el&sc_campaign=pac_Q32019_exlinks_blog_OTT_07DGAB&sc_outcome=Product_Adoption_Campaigns&sc_geo=NAMER&sc_country=mult

• https://www.youtube.com/watch?v=UqgVESJc_yc
• https://aws.amazon.com/jp/blogs/news/new-vpc-traffic-mirroring/
• https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html
• https://www.slideshare.net/AmazonWebServices/network-visibility-into-the-traffic-traversing-your-aws-infrastructure-svc213-new-york-aws-summit
• https://pages.awscloud.com/Simplify-Traffic-Monitoring-and-Visibility-with-Amazon-VPC-Traffic-

VPC Traffic Mirroring ご清聴ありがとうございました