ブログ
Route 53 Global Resolver の DNS フィルタリングと DoH 認証を VPC 外から実測する
Route 53 Global Resolver の作成から Do53/DoH 認証、DNS フィルタリングまでを CLI で一気通貫検証。伝播時間の計測データと、VPC Resolver 比 20 倍のコストに見合うユースケースの判断材料を提供する。
← すべてのタグ
タグ: #networking
「networking」タグが付いたコンテンツ一覧
ブログ記事
ブログ
VPC Encryption Controls の Monitor・Enforce 両モードを実トラフィックで検証する
VPC Encryption Controls の Monitor/Enforce 両モードを実機検証。Flow Logs の encryption-status の実態、Enforce 移行に15分以上かかる非同期処理、VPC エンドポイント ENI マイグレーションの落とし穴を計測データとともに報告する。
ブログ
Network Firewall Proxy 検証 — PrivateLink でマルチ VPC 構成を組む
Network Firewall Proxy の集中型構成を検証。PrivateLink エンドポイント経由のクロス VPC アクセスで SourceVpc による VPC 別ポリシー制御が機能する一方、SourceIp は NAT されて使えないことを確認した。
ブログ
Network Firewall Proxy 検証 — ACM PCA で TLS インターセプトを有効化する
Network Firewall Proxy の TLS インターセプトを ACM Private CA で有効化し、PreRequest フェーズの HTTP メソッド制限と PostResponse フェーズの Content-Type ブロックを検証した。PCA 設定の落とし穴と Preview 固有の制約も共有する。
ブログ
Network Firewall Proxy 検証 — セットアップからドメインフィルタリングまで
AWS Network Firewall Proxy(Public Preview)を検証。NAT Gateway 統合のセットアップから PreDNS フェーズのドメインフィルタリング、ソースベース制御、DNS スプーフィング耐性まで実機で確認した。
ブログ
EKS の強化ネットワークポリシーで FQDN ベースのトラフィック制御を実現する
EKS Auto Mode 環境で ClusterNetworkPolicy と ApplicationNetworkPolicy を検証。ドメイン名ベースの Egress フィルタリングにより、特定の外部サービスのみへの通信を許可する多層的なアクセス制御を実現した。
ブログ
Lambda AZメタデータで同一AZルーティングを実現する — ElastiCacheのレイテンシを半減
Lambda の新しい AZ メタデータエンドポイントを検証。ElastiCache Valkey クラスターへの同一AZ / クロスAZ接続レイテンシを実測し、Same-AZ ルーティングの効果を定量的に示す。
TIL
TIL
Network Firewall Proxy は HTTP でも PreRequest フェーズのルールが効く
TLS インターセプトなしでも HTTP の absolute-form リクエストに対しては PreRequest フェーズの HTTP メソッドやヘッダーの検査が可能。ドキュメントの記述は HTTPS に限定した話だった。
TIL
Network Firewall Proxy の PrivateLink 経由アクセスでは SourceIp が NAT される
PrivateLink エンドポイント経由のクロス VPC アクセスでは request:SourceIp がエンドポイントの ENI IP に NAT される。SourceVpc や SourceVpce で代替する必要がある。