AWS/ネットワーク

Amazon Virtual Private Cloud (Amazon VPC) †

• AWS再入門2022 Amazon VPC編
• 【AWS入門③】VPCの構築～基礎知識を詰め込もう～

ファイアウォール †

• セキュリティグループ vs ネットワークACL

Security Group †

• AWS運用　セキュリティグループってどういうグループ？

• 無料で利用可
• インスタンス単位で設定するファイアウォール機能

defaultの通信設定 †

• インバウンド　：すべて拒否
• アウトバウンド：すべて許可

• セキュリティグループは定義した通信のみを許可する「ホワイトリスト形式」
• Linux での iptables に近いイメージ

管理 †

• 「このセキュリティグループ使ってるんだっけ…？」に即座に答える AWS Config ルールのご紹介

Network ACL †

• 無料で利用可
• サブネット単位で全インスタンスに適用するファイアウォール機能
• ファイアウォール機器に該当するのはこれ

defaultの通信設定 †

• インバウンド　：すべて許可
• アウトバウンド：すべて許可

• ネットワークACLは定義した通信のみを拒否する「ブラックリスト形式」

AWS Network Firewall †

• 有料のサービス

• スケーラブルでマネージド
• ステートレスなパケットフィルタリング (プロトコル、送信元IP/ポート、送信先IP/ポート)=行きも戻りも許可が必要
• ステートフルなパケットフィルタリング (プロトコル、送信元IP/ポート、送信先IP/ポート)
• ドメインリストを基にしたHTTP/HTTPSのアクセス制御
• オープンソースの IPS 「Suricata」 互換のルールでの制御

Route 53 Resolver DNS Firewall †

• 有料のサービス

• VPCのアウトバウンドDNSクエリをDNS Firewallのルールグループを使用してDNSクエリをフィルタリングできます。
• ルールグループはカスタムすることも出来るし、AWSマネージドなリストを使うことも可能です。
• EC2でSquidを利用したプロキシサーバを構築する方法もありますが、特定の宛先だけしか通信させたく無いようなVPCを作成したい時に非常に効果的と思います。