【AWSセキュリティ】VPCフローログ

AWS運用自動化サービス「Cloud Automator」

 

今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。

動画内では、実際のAWSマネジメントコンソール画面を利用した説明もありますのでもし興味があれば是非、動画も参照頂ければと思います。

 

内容が良かった、為になったと感じたら是非Goodボタンやチャンネル登録頂けると嬉しいです。

対象者

・クラウドサービスの検討をされている方
・AWSのセキュリティ対策について知りたい方
・VPC フローログの概要について知りたい方

VPC フローログとは

Amazon VPC(AWS内で動作する独立した仮想ネットワーク) で提供される、ネットワークインターフェイス間で行き来する IPトラフィックに関する情報をキャプチャする機能となり、キャプチャされた内容は Amazon CloudWatch Logs へ Publish(公開) または Amazon S3に格納する事が出来ます。

以下が主なユースケースとなります。

  • 通信トラブルの調査
    例えばEC2インスタンスに到達するトラフィックのモニタリングができるので、どこまで通信が到達しているのかの切り分け等で活用できます。
  • セキュリティ設計の結果検証
    許可/遮断以外にも送信元や宛先や利用されたポートの情報も記録できる為、設計したセキュリティ要件通り動作しているかの確認や診断用途で活用できます。
  • 脅威検出のデータソース
    別サービスの Amazon GuardDuty で脅威検出をするためのデータソースとして利用されます。(ユーザが取得設定するものとは別の独立したデータストリーム経由となります)
    Amazon GuardDutyに関しては、以下Blogで紹介しておりますので興味があれば参照ください。

    【はじめてのAWS】Amazon GuardDuty を設定しよう
    http://blog.serverworks.co.jp/tech/2020/06/12/hajimetenoaws_guardduty/

参考: VPC フローログ (ユーザーガイド)
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html

VPCフローログの料金

VPC フローログ自体は無料(追加料金なし)となっていますが、使用する場合は Amazon CloudWatch Logs 側のデータ取り込み料金という形で課金されます。
また、当該ログを長期保管したい場合には、S3 bucketへ出力が可能でその場合は別途 Amazon S3の保管費用が必要となります。

詳細は参考公式ドキュメントにある VPCフローログモニタリングの料金例をご確認ください。

参考: 例4 – VPC フローログのモニタリング
https://aws.amazon.com/jp/cloudwatch/pricing/

VPC フローログの注意事項

注意点として以下3点を紹介します。

  1. すべてのIPトラフィックがキャプチャされる訳ではない
    AWS内で発生している一部のトラフィック(DHCP,DNS,NTPやWindowsライセンスのアクティベーション用途のトラフィック等) で記録されないものがあります。

    詳細はフローログの制限事項 を参照してください。

    フローログの制限事項
    https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html#flow-logs-limitations

  2. Amazon CloudWatch logsの保管期間は運用を考慮し決定する
    管理者視点でフローログのデータをマネジメントコンソールから簡単に手早く調査する目的では Amazon CloudWatch Logsに公開されている状態が好ましく運用しやすい為、どれぐらいの期間保管するかは運用とコストの観点から検討し設定してください。
    (古いデータをS3 bucketへの長期保管も可能ですが、その範囲の解析は手動での解析やらAmazon Athenaを駆使した抽出等が必要となり運用の敷居やコストが上がります。)

  3. フィルタリングの文法に慣れが必要
    大量のVPCフローログから素早く必要なレコードを抽出するためにフィルタリングが有効ですが、フィルタリングルールの書き方が独自の内容となっています。
    運用する上で重宝するフィルタリング例を以下blogで紹介しておりますので実際の運用の際には参考にしてください。

VPC Flow Logs(CloudWatch Logs)を閲覧時にフィルタする方法

VPC フローログ 利用方法(動画内 02:21〜)

VPC フローログを取得する設定を行い、ログ確認をするまでの利用方法について動画内で紹介しています。
管理者視点で、ざっくりとVPCフローログの取得設定や利用イメージを掴んで頂ける内容となっておりますので、もし興味があれば動画を参照ください。

まとめ

VPC フローログでは数クリック程度の設定でVPC内の通信記録が可能となり、その情報をトラブルの原因調査や切り分けに活用する事ができます。
低コストで利用可能なので、AWSアカウント管理者としてAmazon VPC内でリソースを運用する場合には、設定項目として検討してみてください。

 
AWS運用自動化サービス「Cloud Automator」