【参加レポ】「AWSの基礎を学ぼう 特別編 最新サービスをみんなで触ってみる Network Firewall」に参加しました
はじめに
平日の疲れのまま突入してしまい1日を無駄にしがちな土曜日は、ハンズオン&アウトプットするに限る!
ということで昨日は下記のイベントに参加しました。
例のごとく、振り返りも兼ねて、参加レポートを書いてみました。
今日何をやったか
下記構成図のような、NetworkFWで制御したVPC環境を構築する(すべてマネコンから)
- 外部Internet→InternetGW→NetworkFW→EC2の環境を構築。
- NetworkFWのIPSルールを設定。
- すべての通信をalertとしてCloudWatchLogsへ出力する。
- すべての通信を拒否(drop)する。
Tipsまとめ
- RouteTableの設定変更を行うときは一旦サブネットの関連付けを解除する必要がある。
- そのままだと設定変更できないよ。
Suricataとは
- OSSのIPS(侵入防止システム)
- AWSのマネージドサービスでいうとNWFW
- 独自の記法でルールを書ける。 参考:dev.classmethod.jp
- OSSのIPS(侵入防止システム)
ALBとIPSを併用する場合は、L7制御したい場合はWAF、L4までならNWFWという使い分けができる。
感想
- VPCまわりのNW特有の複雑さがややこしい。
- 手順通りやっただけでは迷うところがあったので、絵に書いてみたところ少し理解は深まった。
- 実際より複雑な環境を設計する際にはもっと難しそう。
- マネコン操作でハンズオンをやるのはきつい。
- CloudFormationやCLIから操作をすることに慣れてきていたので、マネコン操作の取り回しのしづらさに改めて気づいた。
- 主催の亀田さんもマネコン使用の手順書は作りたくないとのこと。
- とはいえ、よくわからなくても動かせるので「まず触ってみる」には適した手法だと思った。
- CloudFormationやCLIから操作をすることに慣れてきていたので、マネコン操作の取り回しのしづらさに改めて気づいた。
- とりあえず触ってみるはすごい。
- ちょっとわかった気になって、次回以降の学習ハードルが下がる。
- 毎回思うけどあえて書いとく。
