New – VPC Reachability Analyzer
DRANK

With Amazon Virtual Private Cloud (VPC), you can launch a logically isolated customer-specific virtual network on the AWS Cloud. As customers expand their footprint on the cloud and deploy increasingly complex network architectures, it can take longer to resolve network connectivity issues caused by misconfiguration. Today, we are happy to announce VPC Reachability Analyzer, a […]

aws.amazon.com
Related Topics:
1 comments
  • チェシャ猫
    @y_taka_23

    勘のいい読者諸兄はすでにお気づきかもしれませんが、この記事で最も重要なフレーズは "without sending any packets" です。

    ネットワークの設定ミスで通信できないとき、設定をデバッグするのは結構大変です。今回アナウンスされた VPC Reachability Analyzer は、スタートとゴールの間が通信可能な設定になっているかどうか、あるいはなっていないならどこで失敗しているかを教えてくれます。

    重要なのは、接続性をチェックする際、実際にパケットを送っている訳ではないという部分です。純粋に設定のみを見て、通信可能な条件が満たされているかどうかを判定します。内部的な話をすると、この判定はネットワークの意味論を SMT (Satisfiability modulo theories) ソルバで解かせることにより実装されています。判定エンジンは Tiros と呼ばれており、今回の Reachability Analyzer 以外に Amazon Inspector でも使用されているようです。

    AWS ではこのような「数学的な性質」に基づくセキュリティの検証や自動化を色々なところに使用しており、一連の取り組みは Provable Security と呼ばれています。詳細が気になる方は以下の論文も合わせてどうぞ。

    https://d1.awsstatic.com/whitepapers/Security/Reachability_Analysis_for_AWS-based_Networks.pdf