Network Firewall を使用して、アウトバウンドトラフィックのサーバー名表示から DNS ドメイン名をキャプチャする - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Network Firewall を使用して、アウトバウンドトラフィックのサーバー名表示から DNS ドメイン名をキャプチャする

Kirankumar Chandrashekar、Amazon Web Services

概要

このパターンは、AWS Network Firewall を使用して、アウトバウンドネットワークトラフィックの HTTPS ヘッダーで Server Name Indication (SNI) によって提供される DNS ドメイン名を収集する方法を示しています。Network Firewall は、Amazon Virtual Private Cloud (Amazon VPC) の重要なネットワーク保護を簡単にデプロイできるようにするマネージド型サービスです。これには、特定のセキュリティ要件を満たさないパケットをブロックするファイアウォールでアウトバウンドトラフィックを保護する機能が含まれます。特定の DNS ドメイン名へのアウトバウンドトラフィックを保護することをエグレスフィルタリングと呼びます。これは、あるネットワークから別のネットワークへのアウトバウンド情報の流れを監視し、場合によっては制限する手法です。

Network Firewall を通過する SNI データをキャプチャしたら、Amazon CloudWatch Logs と AWS Lambda を使用して、E メール通知を生成する Amazon Simple Notification Service (Amazon SNS) トピックにデータを公開できます。E メール通知には、サーバー名とその他の関連する SNI 情報が含まれます。さらに、このパターンの出力を使用して、ファイアウォールルールを使用して SNI 内のドメイン名によるアウトバウンドトラフィックを許可または制限できます。詳細については、Network Firewall ドキュメントの「AWS Network Firewall のステートフルルールグループの操作」をご参照ください。

前提条件と制限

前提条件

アーキテクチャ

次の図は、ネットワークファイアウォールを使用してアウトバウンドネットワークトラフィックから SNI データを収集し、CloudWatch Logs と Lambda を使用してそのデータを SNS トピックに公開する方法を示しています。

Network Firewall、CloudWatch Logs、Lambda、Amazon SNS 間のワークフロー。

この図表は、次のワークフローを示しています:

  1. Network Firewall は、アウトバウンドネットワークトラフィックの HTTPS ヘッダーにある SNI データからドメイン名を収集します。

  2. CloudWatch Logs は SNI データを監視し、アウトバウンドネットワークトラフィックが Network Firewall を通過するたびに Lambda 関数を呼び出します。

  3. Lambda 関数は CloudWatch Logs によってキャプチャされた SNI データを読み取り、そのデータを SNS トピックに公開します。

  4. SNS トピックから SNI データを含むメール通知が送信されます。

自動化とスケール

テクノロジースタック

  • Amazon CloudWatch Logs

  • Amazon SNS

  • Amazon VPC

  • AWS Lambda 

  • AWS Network Firewall

ツール

AWS サービス

  • Amazon CloudWatch Logs」— Amazon CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS CloudTrail、Amazon Route 53 およびその他のソースからログファイルを監視、保存、およびアクセスすることができます。

  • Amazon SNS – Amazon Simple Notification Service (Amazon SNS) は、パブリッシャーからサブスクライバー (または生産者から消費者) へのメッセージ配信を提供するマネージドサービスです。

  • Amazon VPC」— Amazon Virtual Private Cloud (Amazon VPC) では、AWS クラウドの論理的に隔離されたセクションをプロビジョニングすることで、ユーザーが定義した仮想ネットワーク内で AWS リソースを起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。

  • AWS Lambda」— AWS Lambda はサーバーをプロビジョニングまたは管理しなくてもコードを実行できるコンピュートサービスです。

  • AWS Network Firewall」— AWS Network Firewall は、すべてのAmazon VPC に不可欠なネットワーク保護を簡単に導入できる管理サービスです。

エピック

タスク説明必要なスキル

CloudWatch Logs ロググループを作成します。

  1. AWS マネジメントコンソールにサインインし、「CloudWatch コンソール」を開きます。

  2. ナビゲーションペインで、[ロググループ] を選択します。

  3. [Actions (アクション)] を選択し、[Create log group (ロググループの作成)] を選択します。

  4. ロググループの名前を入力し、[Create log group (ロググループの作成)] を選択します。

詳細については、CloudWatch Logs ドキュメントの「ロググループとログストリームの操作」を参照してください。

クラウド管理者
タスク説明必要なスキル

SNS トピックを作成します。

SNS トピックを作成するには、「Amazon SNS」ドキュメントの指示に従ってください。

クラウド管理者

SNS トピックにエンドポイントを登録します。

作成した SNS トピックのエンドポイントとしてメールアドレスを登録するには、「Amazon SNS ドキュメント」の指示に従います。[プロトコル] には「Email/Email-JSON」を選択します。

注記

また、要件に基づいて別のエンドポイントを選択することもできます。

クラウド管理者
タスク説明必要なスキル

ファイアウォールロギングを有効にする。

  1. AWS マネジメントコンソールにサインインし、「Amazon VPC コンソール」 を開きます。

  2. ナビゲーションペインで、[ネットワークファイアウォール] の下にある [ファイアウォール] を選択します。

  3. 「ファイアウォール」セクションで、送信トラフィック用に SNI からサーバー名を取得するファイアウォールを選択します。

  4. 「ファイアウォールの詳細」タブを選択し、「ログ」セクションで「編集」を選択します。 

  5. [ログタイプ] には [アラート] を選択します。[アラートのログ先] で、[CloudWatch ロググループ] を選択します。 

  6. CloudWatch ロググループでは、前に作成したロググループを検索して選択し、[保存] を選択します。

CloudWatch Logs をネットワークファイアウォールのログ送信先として使用する方法の詳細については、Network Firewall ドキュメントの「Amazon CloudWatch Logs」を参照してください。 

クラウド管理者
タスク説明必要なスキル

ステートフルルールグループの作成

  1. AWS マネジメントコンソールにサインインし、「Amazon VPC コンソール」 を開きます。

  2. ナビゲーションペインで、[ネットワークファイアウォール] で、[ネットワークファイアウォールルールグループ] を選択します。

  3. [Network Firewall ルールグループの作成] を選択します。

  4. [Network Firewall ルールグループの作成] ページで、[ルールグループタイプ] に [ステートフルルールグループ] を選択します。注:詳細については、「AWS Network Firewall のステートフルルールグループの操作」を参照してください。

  5. 「ステートフルルールグループ」セクションで、ルールグループの名前と説明を入力します。

  6. [容量] には、ステートフルルールグループに許可する最大容量 (最大 30,000) を設定します。注:ルールグループを作成した後は、この設定を変更できません。容量の計算方法については、「AWS Network Firewall でのルールグループの容量の設定」を参照してください。最大設定については、「AWS Network Firewall クォータ」を参照してください。

  7. [ステートフルルールグループのオプション] では、[5-tuple] を選択します。

  8. 「ステートフルルール順序」セクションで、[デフォルト] を選択します。

  9. 「ルール変数」セクションでは、デフォルト値をそのまま使用します。

  10. 「ルールを追加」セクションで、[プロトコル] に [TLS] を選択します。[ソース] には [任意] を選択します。[送信元ポート] には [任意のポート] を選択します。[送信先] には [任意] を選択します。[送信先ポート] で [任意のポート] を選択します。[トラフィック方向] には [転送] を選択します。[アクション] で、[アラート] を選択します。[ルールを追加] を選択してください。

  11. [ステートフルルールグループの作成] を選択します。

クラウド管理者

ステートフルルールをNetwork Firewall に関連付けます。

  1. AWS マネジメントコンソールにサインインし、「Amazon VPC コンソール」 を開きます。

  2. ナビゲーションペインで、[ネットワークファイアウォール] の下にある [ファイアウォール] を選択します。

  3. アウトバウンドトラフィック用に SNI からサーバー名を取得するファイアウォールを選択します。

  4. 「ステートフルルールグループ」セクションで [アクション] を選択し、[アンマネージドステートフルルールグループの追加] を選択します。 

  5. [アンマネージドステートフルルールグループの追加] ページで、先ほど作成したステートフルルールグループを選択し、[ステートフルルールグループの追加] を選択します。

クラウド管理者
タスク説明必要なスキル

Lambda 関数のコードを作成します。

アウトバウンドトラフィックのNetwork Firewall から CloudWatch Logs イベントを読み取ることができる統合開発環境 (IDE) で、次の Python 3 コードを貼り付け、<SNS-topic-ARN> を指定した値に置き換えます。

import json
import gzip
import base64
import boto3
sns_client = boto3.client('sns')
def lambda_handler(event, context):
    decoded_event = json.loads(gzip.decompress(base64.b64decode(event['awslogs']['data'])))
    body = '''
    {filtermatch}
    '''.format(
        loggroup=decoded_event['logGroup'],
        logstream=decoded_event['logStream'],
        filtermatch=decoded_event['logEvents'][0]['message'],
    )
    print(body)
    filterMatch = json.loads(body)
    data = []
    if 'http' in filterMatch['event']:
        data.append(filterMatch['event']['http']['hostname'])
    elif 'tls' in filterMatch['event']:
        data.append(filterMatch['event']['tls']['sni'])
    result = 'Domain accessed ' + 1*' ' + (data[0]) + 1*' ' 'via AWS Network Firewall ' + 1*' '  + (filterMatch['firewall_name'])
    print(result)
    message = {'ServerName': result}
    send_to_sns = sns_client.publish(
        TargetArn=<SNS-topic-ARN>,          #Replace with the SNS topic ARN
        Message=json.dumps({'default': json.dumps(message),
                        'sms': json.dumps(message),
                        'email': json.dumps(message)}),
        Subject='Server Name passed through the Network Firewall',
        MessageStructure='json'
    )

このコードサンプルは、CloudWatch Logs のコンテンツを解析し、SNI によって提供されたサーバー名を HTTPS ヘッダーにキャプチャします。

アプリ開発者

Lambda 関数を作成します。

Lambda 関数を作成するには、「Lambda ドキュメント」の指示に従い、[ランタイム] に [Python 3.9] を選択します。

クラウド管理者

Lambda 関数にコードを追加します。

前に作成した Lambda 関数に Python コードを追加するには、「Lambda」ドキュメントの指示に従ってください。

クラウド管理者

CloudWatch Logs をトリガーとして Lambda 関数に追加します。

  1. AWS マネジメントコンソールにサインインし、「Lambda コンソール」を開きます。

  2. ナビゲーションペインで [関数] を選択し、先ほど作成した関数を選択する。

  3. [関数の概要] セクションで、[トリガーを追加] を選択します。

  4. 「トリガーを追加」ページの「トリガー設定」セクションで、[Cloudwatch ログ] を選択し、[追加] を選択します。

  5. [ロググループ] では、前に作成した CloudWatch ロググループを選択します。

  6. [Filter name] (フィルター名) で、フィルターの名前を入力します。

  7. [Add] (追加) を選択します。

  8. 関数ページの [設定] タブの「トリガー」セクションで、追加したトリガーを選択し、[有効化] を選択します。

詳細については、Lambda ドキュメントの「CloudWatch ログで Lambda の使用」を参照してください。

クラウド管理者

SNS 公開権限を追加します。

Lambda 実行ロールに [sns: publish] アクセス許可を追加して、Lambda が API コールを行って SNS にメッセージを発行できるようにします。 

  1. 先ほど作成した Lambda 関数の「実行ロールを検索」します。

  2. AWS Identity and Access Management (IAM) ロールに「以下のポリシーを追加」します:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSNSPublish",
            "Effect": "Allow",
            "Action": [
                "sns:GetTopicAttributes",
                "sns:Subscribe",
                "sns:Unsubscribe",
                "sns:Publish"
            ],
            "Resource": "*"
        }
    ]
}
クラウド管理者
タスク説明必要なスキル

Network Firewall 経由でトラフィックを送信します。

  1. HTTPS トラフィックを送信するか、Network Firewall を通過するまで待ちます。

  2. トラフィックが Network Firewall を通過したときに AWS から受信する SNS 通知メールを確認してください。E メールには、アウトバウンドトラフィックの SNI の詳細が含まれています。たとえば、アクセスされたドメイン名が [https://aws.amazon.com] で、サブスクリプションプロトコルが [EMAIL-JSON] の場合、上記の Lambda コードから生成される E メールには次の内容が含まれます。

{
    "Type": "Notification",
    "MessageId": "<messageID>",
    "TopicArn": "arn:aws:sns:us-west-2:123456789:testSNSTopic",
    "Subject": "Server Name passed through the Network Firewall",
    "Message": "{\"ServerName\": \"Domain 'aws.amazon.com' accessed via AWS Network Firewall 'AWS-Network-Firewall-Multi-AZ-firewall\"}",
    "Timestamp": "2022-03-22T04:10:04.217Z",
    "SignatureVersion": "1",
    "Signature": "<Signature>",
    "SigningCertURL": "<SigningCertUrl>",
    "UnsubscribeURL": "<UnsubscribeURL>"
}

次に、「Amazon CloudWatch ドキュメント」の指示に従って、Amazon CloudWatch の Network Firewall アラートログを確認します。アラートログには次のように出力されます。

{
    "firewall_name": "AWS-Network-Firewall-Multi-AZ-firewall",
    "availability_zone": "us-east-2b",
    "event_timestamp": "<event timestamp>",
    "event": {
        "timestamp": "2021-03-22T04:10:04.214222+0000",
        "flow_id": <flow ID>,
        "event_type": "alert",
        "src_ip": "10.1.3.76",
        "src_port": 22761,
        "dest_ip": "99.86.59.73",
        "dest_port": 443,
        "proto": "TCP",
        "alert": {
            "action": "allowed",
            "signature_id": 2,
            "rev": 0,
            "signature": "",
            "category": "",
            "severity": 3
        },
        "tls": {
            "subject": "CN=aws.amazon.com",
            "issuerdn": "C=US, O=Amazon, OU=Server CA 1B, CN=Amazon",
            "serial": "<serial number>",
            "fingerprint": "<fingerprint ID>",
            "sni": "aws.amazon.com",
            "version": "TLS 1.2",
            "notbefore": "2020-09-30T00:00:00",
            "notafter": "2021-09-23T12:00:00",
            "ja3": {},
            "ja3s": {}
        },
        "app_proto": "tls"
    }
}
テストエンジニア