ANS対策②

●部門はAWSダイレクトコネクトを使用している。部門が払うお金は？

データアウト料金

AWSダイレクトコネクトの料金は、ポート時間とデータ転送の2つに分けて請求されます。

ポート料金は接続タイプで違う(専用接続、ホスト型接続)

データ転送はGB単位

●ダイレクトコネクトがダウンすると通知して欲しい。どする？

クラウドウォッチメトリクスを、使用してトンネルの状態を確認する

●インスタンス上の全てのネットワークトラフィック(ACCEPT/REJECT)のレイヤー7プロトコルレベルのロギングを確保する必要がある。どする？

サブネットレベルのVPCフローログ

レイヤー7プロトコルレベル

11 ダイレクトコネクトの冗長化

●オンプレとAWSの間でダイレクトコネクト接続を設定した。設定が完了した後、ルートがアドバタイズされた後でも、インスタンスからオンプレサーバに接続できない。どする？

VPCのルートテーブルにはオンプレミスに戻るルートが必要。

VGWへのルート伝達を有効にする。

●新しいダイレクトコネクト接続で、VPCに接続するためのVIFを設定している。どの設定値が必要？

・仮想プライベートゲートウェイ
・VLAN ID

VPCの場合は、プライベートVIFを作成する必要がある。プライベートVIFの作成には、VLAN IDを提供し、仮想プライベートゲートウェイと関連づける必要がある。

●オンプレとAWS間でインターネット経由のVPN接続を確立する。正しい説明は？

・インターネット経由の転送中のデータの保護
・VPNゲートウェイと、カスタマーゲートウェイ間のピアID認証

●site to site VPN

特徴↓

・拠点とAWSを素早く簡単に接続できる
・価格重視/スモールスタート
・ダイレクトコネクトのバックアップ回線

ゲートウェイタイプ↓

・VGW
・TGW

留意点↓

・関連付けするVPC内のサブネットと関連付けされているルートテーブルにおいて、「ルート伝播の有効化」を行う必要がある。こんな機能があるの知らなかった。。

【AWS VPN】AWS Site To Site VPNでオンプレミスとAWS間のネットワークを接続する方法 - サーバーワークスエンジニアブログ

カスタマーゲートウェイデバイス - AWS Site-to-Site VPN

●オンプレとVPCの間で、ネットワーク経由のVPN接続を、確立する。オンプレルータで、許可するべきトラフィックは？

UDP ポート　500
IP プロトコル　50

●クラウド上に環境がある。要件として、環境内の全ての変更と、環境との間で送受信される全てのトラフィックを監視できること。さてどする？

・Palo Auto NetworksのようなIPS/IDSシステムを構築し、VPCに出入りするすべての潜在的なトラフィックを監視、フィルター、アラートする

・IPS/IDSを設定して、VPCに出入りする危険なトラフィックをリッスン、ブロックする。Cloud TrailとCloud Watch logsを構成して、環境内の変更を検知する

●LOA-CFA について

そのLOA(管理画面だとLoa)を元に、AWS Direct Connect パートナーまたはプロバイダが物理的な配線工事を行います。

●プロミスキャスモード

VPC内ではプロミスキャスモードは基本的に使えないよう。

●Transit VPC 
複数のアカウントに、複数のVPCがある。
そのうち一つのアカウントに、ダイレクトコネクト接続があり、9つのVPCがあり、それぞれにVIFがある。
拡張するにはどする？

https://docs.aws.amazon.com/solutions/latest/cisco-based-transit-vpc/welcome.html

なんかなくなりそう。

●AWSでアプリを実行していて、HTTSを利用したELBサービスと連動してAuto Scalingを使用している。そこで、サイトで使用しているがサイトで使用している暗号化プロトコルと暗号に悪用可能な脆弱性が見つかった。どする？

ELBのセキュリティポリシーを変更して、脆弱性のあるプロトコルと暗号化を無効化する

●ウェブ以外のアプリで、ロードバランサーを使いながらもエンドサーバーにクライアントの送信元のIPを渡したい。どする？

NLBを使用して、Proxy Protcol v2属性を有効にする

●プライベートホストゾーンの使用

層内の通信がハードコーディングされたホスト名を使用している。
解決策は、内部であるホスト名を使用してプライベートレコードセットを作成して、全てのクエリのルーティングに役立つエイリアスレコードとしてELBにマップする

●インスタンスのプロキシ設定

インスタンスにプロキシ設定をする場合は、インスタンスメタデータへのアクセスに使用されるアドレス(169.254.169.254)を除外する必要がある。イロクニゴヨイロクニゴヨ

インスタンスメタデータから、IAMロールの認証情報を取得する？

●次の要件を持つVPNを導入するには？
・AES128ビット暗号化
・SHA-1 ハッシュ
・SSL VPNを介したユーザアクセス
・DHグループ2を使用するPFS
・キーとパスワードの管理、およびローテーションの機能
・証明書ベースの認証

マーケットプレイスからデプロイされたサードパーティ製のVPNソリューション

これを、全てのリージョンのインスタンスにインストールしている

MPLSソリューションはこれを満たしていない

AWSベースのハードウェアVPNでは、

・キーとパスワードの管理
・ローテーションの機能
・証明書ベースの認証機能

はない。

●オンプレにDB、AWSにアプリサーバがある。アプリには、DBがホスト名が登録されている。フェイルオーバーする時には、ホスト名に対応するDBのIPアドレスを変更することで迅速に対応する
名前解決するにはどする？

VPCのDHCPオプションセットを使ってEC2のDNS/NTPサーバ設定を試してみる | DevelopersIO

・既存のオンプレDNSサーバのアドレスをDHCPセットに紐づけて作成する

・内部DNSレコード用のホスト名を設定するためにEC2インスタンスのDNSサーバーを作成して、内部DNSサーバのIPアドレスでDHCPオプションセットを新規作成する

●クラウドフロントをしているが、クッキーを元にユーザがアクセスするページを振り分けたい。どする？

Lambda@edgeを使う

●4つのVPCでオンプレと通信しながら、それぞれのVPC間でも通信する必要がある。どする？

合計4つのプライベートVIFを、作成する。
全てのVPC間でピアリングを作成する。

いわゆるホスト型のVIFなんだと、思う

●AWSを動画ストリーミングプラットフォームにしたい。どする？

オリジンサーバとして、S3に動画コンテンツを、保存する。クラウドフロントディストリビューションにダウンロードオプションを設定して、動画コンテンツをストリーミングに配信する

●DNS関連

オンプレDNSシステムを、スタブゾーンで構成し？

●ホスト名を使ってるアプリを別リージョンに移行する。どする？

インスタンスから作成したAMIを介してサブネット内の新しいインスタンスを起動し、DNSを使用してこの新しいインスタンスに新しい接続をリダイレクトする。古いインスタンスは破棄する

●プライベートホストゾーンにさらにVPCを関連づける。

プライベートホストゾーンにさらに VPC を関連付ける - Amazon Route 53

●ウェブアプリのログ、インスタンスのENI変更を監視したい。どする？

クラウドトレイルと、クラウドウォッチログを使用する

●ALBの不正アクセスをNACLに悪意のあるIPアドレスを追加することだ防いでいた。ところごNACLのルール数が上限にいった。どする？

ラムダ関数を更新して、ALBに接続されたAWS WAFの悪意のあるIPをブロックする

●ソフトウェアがインスタンスにホストされている。ライセンスはMACアドレスに紐付いている。しかし、インスタンスの再起動でMACアドレスは変わってしまう。どする？

固定のMACアドレスを持つENIを備えたVPCを使用する

●

AWSにVMをコピーするには、VMインポートを行います

●EMRサービスを使用して機密情報を処理したい。情報はオンプレのデータベースに保存されてる。処理の出力はS3パケットにする前に、KMSで暗号化する。パブリックサブネットとプライベートサブネットがあるVPCとオンプレはVPN接続してる。EMRはパブリックサブネット立てられない。どする？

NATゲートウェイでS3エンドポイントに接続する
VPNでオンプレと通信する

EMR

https://www.skyarch.net/column/amazon-emr/

●AWS Workspaces の立ち上げ準備のために、適切なネットワークリソースを設定する必要がある。最適な選択は？

・アウトバウンドトラフィックのネットワークアドレス変換
・異なるAZにある少なくとも２つのサブネット

2つの異なるAZを持つサブネットが推奨されている。
プライベートサブネットでホストして、インターネットリクエストをNATするもの

●DHCPアプション

VPC毎にアタッチされる

●DHCPオプション経由で取得するドメイン名が特定のインスタンスで異なる必要がある。どする？

DHCPオプション経由で取得するドメイン名！
掴みづからかったけど、要は自称のドメイン名だと思う。

新しいピアリングされたVPCを作成し、異なるドメイン名でDHCPオプションセットを構成し、そこに必要なインスタンスを再起動する。

●リモートAWSリージョン間の共有。

以前はリージョン間ダイレクトコネクトのリージョン間機能を使用していた。
今はDXGWで実現できる

・Direct Connect GatewayをいずれかのAWSリージョンに作成すると、AWSの全リージョン *1に複製され、相互接続できる
・Direct Connect Gatewayには複数のVIFおよびVGWが接続できる

DXGWをコンソールで作成してみたが、

・VIFの関連付け画面
・VGWの関連付け画面

の2つがあった。

VPC側は、VPC→そのVPCにアタッチされたVGW→DXGW

の経路でいけそう。
ルートテーブルでは、VGWに対してルートを設定する。

[新機能] AWS Direct Connect Gatewayで世界中のAWSリージョンとプライベート接続する | DevelopersIO

●リージョン間での安全な通信移動。

AWSリージョン間でIPseVPNを、使用してプライベートIPを使用してトラフィックをルーティングし、他のリージョンのVPC CIDRに対応するクラスタセキュリティグループCIDRベースのルールを作成する

●

ポートスキャン検知はフローログで、できる

●クラウドフォーメーションカスタムリソースとは？

クラウドフォーメーションが対応していないリソースを、ラムダで作成して必要な情報をクラウドフォーメーションに、渡す

https://dev.classmethod.jp/articles/request-type-in-the-lambda-backed-custom-resources/

CloudFormationで提供されていない処理をカスタムリソースで作ってみた。 | DevelopersIO

●HPCアプリをインスタンスにデプロイしたい。アプリパフォーマンスを上げるには？

・インスタンスで拡張ネットワーク機能を有効化する
・アプリのOSのMTUを9001にする。

MTU 9001は、いわゆるジャンボフレームとのこと。

MTUは、一回のパケットで送信できる最大のパケット容量

●NLBと静的IPアドレス

ソースIPを、変更しないと要件は多くのロードバランサーの中で唯一NLBが対応している

●

改めてDHCPは設定変更できない。
設定を変える場合は

再作成するしかない

●プライベートサブネットのインスタンスにNAT経由でアクセスしている。リクエストレートが増えるに従って、最近エラーが出てきている。
接続の失敗と、ErrorPortAllocation Amazon Allocationメトリクスが増えてきている。どする？

・クライアントインスタンスにTCPキープアライブを実装する
・パブリックサブネットに追加のNATを配置。プライベートサブネットも分けてルートを分散させる

●NATゲートウェイを設置している。アプリはネットとS3バケットと通信してる。改善できる？

NATゲートウェイを維持し、より高い帯域幅のスループットだけではなく、厳密なセキュリティを可能にするVPC S3エンドポイントを作成する。

●VPCで実行されているインスタンスのフリートで特定のTCPボートにアクセスした時に、自動的に通知を受ける必要がある。どする？

#20  ASの問題がかなり難しい？
ラスボス感

●拡張ネットワーク

VPC内のみで、利用可能

●S3でのストリーミング

・ダウンロードオプション
・ストリーミングオプション

●ワークスペシーズ

VPNが必要なのはオンプレのアクティブディレクトリがある場合のみとのこと

●DNS名前空間の最上位のノード
→zone apex
ゾーンエイペックスに対して、cnameレコードはつかれないらしい！
→同じサイトで両方使用したい場合、ホスト名付きもののドメインと、ゾーンエイペックスを別のAレコードで作成する。