ANS対策②
●部門はAWSダイレクトコネクトを使用している。部門が払うお金は?
データアウト料金
ポート料金は接続タイプで違う(専用接続、ホスト型接続)
データ転送はGB単位
●ダイレクトコネクトがダウンすると通知して欲しい。どする?
クラウドウォッチメトリクスを、使用してトンネルの状態を確認する
●インスタンス上の全てのネットワークトラフィック(ACCEPT/REJECT)のレイヤー7プロトコルレベルのロギングを確保する必要がある。どする?
サブネットレベルのVPCフローログ
11 ダイレクトコネクトの冗長化
●オンプレとAWSの間でダイレクトコネクト接続を設定した。設定が完了した後、ルートがアドバタイズされた後でも、インスタンスからオンプレサーバに接続できない。どする?
VPCのルートテーブルにはオンプレミスに戻るルートが必要。
VGWへのルート伝達を有効にする。
●新しいダイレクトコネクト接続で、VPCに接続するためのVIFを設定している。どの設定値が必要?
・仮想プライベートゲートウェイ
・VLAN ID
VPCの場合は、プライベートVIFを作成する必要がある。プライベートVIFの作成には、VLAN IDを提供し、仮想プライベートゲートウェイと関連づける必要がある。
●オンプレとAWS間でインターネット経由のVPN接続を確立する。正しい説明は?
・インターネット経由の転送中のデータの保護
・VPNゲートウェイと、カスタマーゲートウェイ間のピアID認証
●site to site VPN
特徴↓
ゲートウェイタイプ↓
留意点↓
●オンプレとVPCの間で、ネットワーク経由のVPN接続を、確立する。オンプレルータで、許可するべきトラフィックは?
UDP ポート 500
IP プロトコル 50
●クラウド上に環境がある。要件として、環境内の全ての変更と、環境との間で送受信される全てのトラフィックを監視できること。さてどする?
・Palo Auto NetworksのようなIPS/IDSシステムを構築し、VPCに出入りするすべての潜在的なトラフィックを監視、フィルター、アラートする
・IPS/IDSを設定して、VPCに出入りする危険なトラフィックをリッスン、ブロックする。Cloud TrailとCloud Watch logsを構成して、環境内の変更を検知する
●LOA-CFA について
●プロミスキャスモード
VPC内ではプロミスキャスモードは基本的に使えないよう。
●Transit VPC
複数のアカウントに、複数のVPCがある。
そのうち一つのアカウントに、ダイレクトコネクト接続があり、9つのVPCがあり、それぞれにVIFがある。
拡張するにはどする?
https://docs.aws.amazon.com/solutions/latest/cisco-based-transit-vpc/welcome.html
なんかなくなりそう。
●AWSでアプリを実行していて、HTTSを利用したELBサービスと連動してAuto Scalingを使用している。そこで、サイトで使用しているがサイトで使用している暗号化プロトコルと暗号に悪用可能な脆弱性が見つかった。どする?
ELBのセキュリティポリシーを変更して、脆弱性のあるプロトコルと暗号化を無効化する
●ウェブ以外のアプリで、ロードバランサーを使いながらもエンドサーバーにクライアントの送信元のIPを渡したい。どする?
NLBを使用して、Proxy Protcol v2属性を有効にする
●プライベートホストゾーンの使用
●インスタンスのプロキシ設定
インスタンスにプロキシ設定をする場合は、インスタンスメタデータへのアクセスに使用されるアドレス(169.254.169.254)を除外する必要がある。イロクニゴヨイロクニゴヨ
インスタンスメタデータから、IAMロールの認証情報を取得する?
●次の要件を持つVPNを導入するには?
・AES128ビット暗号化
・SHA-1 ハッシュ
・SSL VPNを介したユーザアクセス
・DHグループ2を使用するPFS
・キーとパスワードの管理、およびローテーションの機能
・証明書ベースの認証
マーケットプレイスからデプロイされたサードパーティ製のVPNソリューション
これを、全てのリージョンのインスタンスにインストールしている
MPLSソリューションはこれを満たしていない
AWSベースのハードウェアVPNでは、
はない。
●オンプレにDB、AWSにアプリサーバがある。アプリには、DBがホスト名が登録されている。フェイルオーバーする時には、ホスト名に対応するDBのIPアドレスを変更することで迅速に対応する
名前解決するにはどする?
・既存のオンプレDNSサーバのアドレスをDHCPセットに紐づけて作成する
・内部DNSレコード用のホスト名を設定するためにEC2インスタンスのDNSサーバーを作成して、内部DNSサーバのIPアドレスでDHCPオプションセットを新規作成する
●クラウドフロントをしているが、クッキーを元にユーザがアクセスするページを振り分けたい。どする?
Lambda@edgeを使う
●4つのVPCでオンプレと通信しながら、それぞれのVPC間でも通信する必要がある。どする?
合計4つのプライベートVIFを、作成する。
全てのVPC間でピアリングを作成する。
いわゆるホスト型のVIFなんだと、思う
●AWSを動画ストリーミングプラットフォームにしたい。どする?
オリジンサーバとして、S3に動画コンテンツを、保存する。クラウドフロントディストリビューションにダウンロードオプションを設定して、動画コンテンツをストリーミングに配信する
●DNS関連
オンプレDNSシステムを、スタブゾーンで構成し?
●ホスト名を使ってるアプリを別リージョンに移行する。どする?
インスタンスから作成したAMIを介してサブネット内の新しいインスタンスを起動し、DNSを使用してこの新しいインスタンスに新しい接続をリダイレクトする。古いインスタンスは破棄する
●プライベートホストゾーンにさらにVPCを関連づける。
●ウェブアプリのログ、インスタンスのENI変更を監視したい。どする?
クラウドトレイルと、クラウドウォッチログを使用する
●ALBの不正アクセスをNACLに悪意のあるIPアドレスを追加することだ防いでいた。ところごNACLのルール数が上限にいった。どする?
ラムダ関数を更新して、ALBに接続されたAWS WAFの悪意のあるIPをブロックする
●ソフトウェアがインスタンスにホストされている。ライセンスはMACアドレスに紐付いている。しかし、インスタンスの再起動でMACアドレスは変わってしまう。どする?
固定のMACアドレスを持つENIを備えたVPCを使用する
●
AWSにVMをコピーするには、VMインポートを行います
●EMRサービスを使用して機密情報を処理したい。情報はオンプレのデータベースに保存されてる。処理の出力はS3パケットにする前に、KMSで暗号化する。パブリックサブネットとプライベートサブネットがあるVPCとオンプレはVPN接続してる。EMRはパブリックサブネット立てられない。どする?
NATゲートウェイでS3エンドポイントに接続する
VPNでオンプレと通信する
EMR
https://www.skyarch.net/column/amazon-emr/
●AWS Workspaces の立ち上げ準備のために、適切なネットワークリソースを設定する必要がある。最適な選択は?
2つの異なるAZを持つサブネットが推奨されている。
プライベートサブネットでホストして、インターネットリクエストをNATするもの
●DHCPアプション
VPC毎にアタッチされる
●DHCPオプション経由で取得するドメイン名が特定のインスタンスで異なる必要がある。どする?
新しいピアリングされたVPCを作成し、異なるドメイン名でDHCPオプションセットを構成し、そこに必要なインスタンスを再起動する。
●リモートAWSリージョン間の共有。
以前はリージョン間ダイレクトコネクトのリージョン間機能を使用していた。
今はDXGWで実現できる
DXGWをコンソールで作成してみたが、
の2つがあった。
VPC側は、VPC→そのVPCにアタッチされたVGW→DXGW
の経路でいけそう。
ルートテーブルでは、VGWに対してルートを設定する。
●リージョン間での安全な通信移動。
AWSリージョン間でIPseVPNを、使用してプライベートIPを使用してトラフィックをルーティングし、他のリージョンのVPC CIDRに対応するクラスタセキュリティグループCIDRベースのルールを作成する
●
ポートスキャン検知はフローログで、できる
●クラウドフォーメーションカスタムリソースとは?
クラウドフォーメーションが対応していないリソースを、ラムダで作成して必要な情報をクラウドフォーメーションに、渡す
https://dev.classmethod.jp/articles/request-type-in-the-lambda-backed-custom-resources/
●HPCアプリをインスタンスにデプロイしたい。アプリパフォーマンスを上げるには?
・インスタンスで拡張ネットワーク機能を有効化する
・アプリのOSのMTUを9001にする。
MTUは、一回のパケットで送信できる最大のパケット容量
●NLBと静的IPアドレス
ソースIPを、変更しないと要件は多くのロードバランサーの中で唯一NLBが対応している
●
改めてDHCPは設定変更できない。
設定を変える場合は
●プライベートサブネットのインスタンスにNAT経由でアクセスしている。リクエストレートが増えるに従って、最近エラーが出てきている。
接続の失敗と、ErrorPortAllocation Amazon Allocationメトリクスが増えてきている。どする?
・クライアントインスタンスにTCPキープアライブを実装する
・パブリックサブネットに追加のNATを配置。プライベートサブネットも分けてルートを分散させる
●NATゲートウェイを設置している。アプリはネットとS3バケットと通信してる。改善できる?
NATゲートウェイを維持し、より高い帯域幅のスループットだけではなく、厳密なセキュリティを可能にするVPC S3エンドポイントを作成する。
●VPCで実行されているインスタンスのフリートで特定のTCPボートにアクセスした時に、自動的に通知を受ける必要がある。どする?
#20 ASの問題がかなり難しい?
ラスボス感
●拡張ネットワーク
VPC内のみで、利用可能
●S3でのストリーミング
・ダウンロードオプション
・ストリーミングオプション
●ワークスペシーズ
VPNが必要なのはオンプレのアクティブディレクトリがある場合のみとのこと
●DNS名前空間の最上位のノード
→zone apex
ゾーンエイペックスに対して、cnameレコードはつかれないらしい!
→同じサイトで両方使用したい場合、ホスト名付きもののドメインと、ゾーンエイペックスを別のAレコードで作成する。
この記事が気に入ったらサポートをしてみませんか?