森永製菓は「ザ・クレープ<チョコ&バニラ>幸せホイップ2倍」(183円)を4月7日より期間限定で発売する。
Views: 0
プロキシとVPCエンドポイントは混ぜるな危険!! #AWS – Qiita
お疲れ様です。矢儀 @yuki_ink です。
プロキシとVPCエンドポイント、使ってますか??
このような構成で、AWS上でプロキシとVPCエンドポイントを利用されているケースは結構多いと思います。
- プライベートサブネットにサーバ(EC2)を配置
- AWSサービス(S3など)への通信はVPCエンドポイントを通す
- そのほかの通信はプロキシ経由でインターネットに通す
今回はそんな構成に対する問題提起をしてみたいと思います。
なお、この記事は、過去のLTにてご紹介したTipsの1つを、記事として解説・深堀りするものです。
スライドを一通り見ていただくことで理解が進む点もあると思いますので、よろしければご参照いただければと思います。
(出典)VPCエンドポイントを巡る名前解決とルーティングの話
プロキシ側にもVPCエンドポイント置いてませんか????
プロキシを置いているようなパブリックサブネットには、VPCエンドポイントは置かないほうがよい!!(特にゲートウェイ型!!)
その理由は、以下のような状況が考えられるからです。
プロキシに流したAWSサービス向けの通信が、意図せずVPCエンドポイントに流れ、VPCエンドポイントに設定されたポリシーやアクセス先S3バケットのバケットポリシーの制御を受けて、結果としてサービスへのアクセスが不可となる事象が発生する可能性があります。
「環境の構成が理解できていればそんなこと起こらないのでは??」と思いますが、特にエンタープライズの大規模な(”共通プロキシ”的なものを置いているような…)環境では、構成の全体像を把握できる人間は結構少ないと思います。
なぜ上記のようになってしまうのか。
順を追って整理してみます。
◆ゲートウェイ型VPCエンドポイントの仕組み
まず、ゲートウェイ型VPCエンドポイントの仕組みを振り返ります。
EC2から東京リージョンのS3のエンドポイントにアクセスしようとするとき、流れとしては次のようになります。
==========
- Route53 Resolverに対してDNSリクエスト(
s3.ap-northeast-1.amazonaws.comを問い合わせ) - レスポンスで パブリックIP が返ってくる
- ルートテーブルを参照
⇒ルートテーブルにより、S3のパブリックIP向けの通信がVPCエンドポイントに捻じ曲げられる(デフォルトゲートウェイには行かない)
==========
ルートテーブルの設定によって、通信がVPCエンドポイントに流れ、プライベート通信が成立という点がポイントです。
逆に言えば、ゲートウェイ型VPCエンドポイントだけ作っても、ルートテーブルの設定がなければ意味がありません!
◆インターフェイス型VPCエンドポイントの仕組み
次に、インターフェイス型VPCエンドポイントの仕組みを振り返ります。
EC2から東京リージョンのSSMのエンドポイントにアクセスしようとするとき、流れとしては次のようになります。
==========
- Route53 Resolverに対してDNSリクエスト(
ssm.ap-northeast-1.amazonaws.comを問い合わせ) - レスポンスでサービスエンドポイントに紐づく プライベートIP が返ってくる
- ルートテーブルを参照
⇒VPC内のローカル通信としてインターフェイス(ENI)にアクセス
==========
インターフェイス型VPCエンドポイントを利用している環境では、紐づくサービスのエンドポイントは プライベートIPで名前解決 され、VPC内のローカル通信として処理される点がポイントです。
◆プロキシ環境下での名前解決はプロキシが担う
AWSサービスの利用に限らず、URLを使った全ての通信は最初に名前解決を行います。
では、プロキシを使って通信を行う場合、クライアント、あるいはプロキシのどちらが名前解決を担うのか。
答えはプロキシです。
例えば、クライアントから投げられた s3.ap-northeast-1.amazonaws.com へのリクエストは、そのままプロキシに流れ、プロキシ側で名前解決がなされます。
非常にイメージしやすい図がありましたので、紹介させていただきます。
(出典)【図解】httpプロキシサーバの仕組み(http GET/https CONNECTメソッド)や必要性・役割・メリットデメリット・DNSの名前解決の順序
ということは・・・
AWSサービスへのリクエストがプロキシに投げ込まれた場合、プロキシ側でエンドポイントの名前解決がされ、その結果、プロキシが存在するサブネットのルートテーブルに従ってVPCエンドポイントに通信が向かうということが、ご理解いただけたと思います。
特にゲートウェイ型VPCエンドポイントは、VPCエンドポイントポリシーで接続先のリソースを制限している場合があり、そこにハマるとトラブルに直結します。
なかなかマイナーな設定かと思いますが、だからこそ、注意が必要です。
上記でも何度か例示しましたが、AWSサービスのエンドポイントは s3.ap-northeast-1.amazonaws.com という形になっており、つまり リージョンごとにAWSサービスのエンドポイントは違います。
では、クロスリージョンのAWSサービス間通信でプロキシとVPCエンドポイントを利用したらどうなるの・・・??
ここで次のケースを考えてみたいと思います。
==========
【プロキシサーバ】
- 大阪リージョンのパブリックサブネットにプロキシサーバを設置
- そのサブネットにはS3用のゲートウェイ型VPCエンドポイントも設定
【クライアント(接続元EC2)】
- プロキシサーバへ通信を流すクライアント(接続元EC2)は、プライベートサブネットに配置
- 大阪リージョンだけでなく、東京リージョンにも存在する
※東京リージョンと大阪リージョンに散在するEC2が、大阪リージョンの共通プロキシサーバを経て、インターネットに接続するような構成を想定 - 接続元EC2が配置されているサブネットにもS3用VPCエンドポイント(ゲートウェイ型)は作成されている
==========
この環境でのS3向け通信の経路について、様々なパターンを考えてみます。
結論としては、以下のようになります。
◆プロキシサーバから直接S3にアクセスするパターン
プロキシサーバ(大阪) ⇒ VPCエンドポイント ⇒ S3(大阪)
プロキシサーバ(大阪) ⇒ インターネットゲートウェイ ⇒ S3(東京)
★ポイント1★
他リージョンのS3へのアクセスは、VPCエンドポイントに向かわず、インターネットゲートウェイに向かう
◆EC2(大阪)からプロキシサーバ(大阪)経由でS3へアクセスするパターン
EC2(大阪) ⇒ プロキシサーバ(大阪) ⇒ VPCエンドポイント(プロキシ側) ⇒ S3(大阪)
EC2(大阪) ⇒ VPCエンドポイント(クライアントEC2側) ⇒ S3(大阪)
EC2(大阪) ⇒ プロキシサーバ(大阪) ⇒ インターネットゲートウェイ ⇒ S3(東京)
対象の通信のルートが無いことにより通信が失敗
★ポイント2★
プロキシ除外設定をしてはじめて、通信がVPCエンドポイントに行く!!
プロキシに向かわせたくない通信はNO_PROXYに書いておく
◆大阪以外のEC2から大阪のプロキシ経由でS3へアクセスするパターン
EC2(東京) ⇒ プロキシサーバ(大阪) ⇒ VPCエンドポイント(プロキシ側) ⇒ S3(大阪)
対象の通信のルートが無いことにより通信が失敗
EC2(東京) ⇒ プロキシサーバ(大阪) ⇒ インターネットゲートウェイ ⇒ S3(東京)
EC2(東京) ⇒ VPCエンドポイント(クライアントEC2側) ⇒ S3(東京)
★ポイント4★
プロキシと同じリージョンのS3にプロキシ経由でアクセスする場合、プロキシからプロキシ側のVPCエンドポイントに通信が捻じ曲げられる
以上、プロキシ環境下でVPCエンドポイントを使うときは注意が必要!ということをご紹介しました。
VPCエンドポイントは気軽に作成でき、ゲートウェイ型VPCエンドポイントに至っては無料で利用できるので、何も考えずに「とりあえず作っとけ!」となることもあると思います。
しかし、そこにプロキシが入ると、通信経路が思わぬ形になり、トラブルの種となる可能性がありますので、十分にご注意ください。
最後までお目通しいただき、ありがとうございました!
Views: 0
Supabase×Pythonで爆速RAG構築する
はじめに
みなさんは、RAGを構築するする際はどんなサービスを利用していますか?
代表的なものだと以下のようなクラウドサービスが挙げられると思います。
AWS: knowledgebase×OpenSearch
Azure: Azure AI Search, CosmosDB
Google Cloud: Vertex AI Agent Builder
Weaviate
ですが、個人で気軽にRAGを構築してアプリケーションをクラウドプラットフォームにデプロイするにはどれもお金がかかってしまい、なかなか手が出せないと思います。
ここで今回は、Supabaseを用いて無料で爆速RAG実…
Source link
Views: 0
Chris’ Corner: PerformanCSS
How CSS relates to web performance is a funny dance. Some aspects are entirely negligible the vast majority of time. Some aspects are incredibly impactful and crucial to consider.
For example, whenever I see research into the performance of some form of CSS syntax, the results always seem to be meh, it’s fine. It can matter, but typically only with fairly extreme DOM weight situations, and spending time optimizing selectors is almost certainly wasted time. I do like that the browser powers that be think and care about this though, like Bramus here measuring the performance of @property for CSS Custom Property performance. In the end, it doesn’t matter much, which is an answer I hope they knew before it shipped everywhere (they almost certainly did). Issues with CSS syntax tend to be about confusion or error-prone situations, not speed.
But even though the syntax of CSS isn’t particularly worrisome for performance, the weight of it generally does matter. It’s important to remember that CSS that is a regular <link> in the <head> is render blocking, so until it’s downloaded and parsed, the website will not be displayed. Ship, say, 1.5MB of CSS, and the site’s performance will absolutely suffer for absolutely everyone. JavaScript is a worse offender on the web when it comes to size and resources, generally, but at least it’s loading is generally deferred.
The idea of “Critical CSS” became hot for a minute, meaning ship as little render blocking CSS as you can, and defer the rest, but that idea has it’s own big tradeoffs. Related to that, it absolutely should be easier to make CSS async, so let’s all vote for that. And while I’m linking to Harry, his The Three Cs: ???? Concatenate, ????️ Compress, ????️ Cache is a good one for your brain.
The times when CSS performance tends to rear it’s head are in extreme DOM weight situations. Like a web page that renders all of Moby Dick, or every single Unicode character, or 10,000 product images, or a million screenshots, or whatever. That way a box-shadow just has a crazy amount of work to do. But even then, while CSS can be the cause of pain, it can be the solution as well. The content-visibility property in CSS can inform the browser to chill out on rendering more than it needs to up front. It’s not the more intuitive feature to use, but it’s nice we have these tools when we need them.
Views: 0
Dedicated Minecraft Creator Is Still Recreating The Las Vegas Strip More Than 8 Years Later
YouTuber Bubbaflubba is continuing to make progress on a Minecraft version of the Las Vegas Strip, a project they began over eight years ago. Screen Rant first reported on Bubbaflubba’s Las Vegas build in 2021, and the creator’s work has been ongoing, with updates made occasionally between their work on other projects.
Source link
Views: 0
News – Now Available on Steam
Cowbots and Aliens is Now Available on Steam!
Cowbots and Aliens is a furious PvP Multiplayer VR brawl set in the Saloon-iverse! Free movement, laser precise gunplay, multiple competitive modes and a custom networked physics system that lets you use EVERYTHING as a weapon makes for an immensely satisfying VR ruckus!
Views: 0
Top Rated Spooky Games to Play This Halloween
Halloween is one week away, and we’ve got a selection of spooky-themed games pulled from our list of top rated games of all time. From psychological horror to festive celebrations, here are our recommendations for late October.
Dr. Krueger’s revolutionary “Dream Therapy” combines breakthrough neuron technology with his closely held therapeutic principles. This psychological horror visual novel features multiple endings and a treatment program that Dr. Krueger assures is completely safe (peer review pending).
Windows, Mac, Linux | Free
Navigate through a mysterious house as Marilyn in this point & click adventure. The game features an investigation system where players explore environments, collect items, and solve puzzles.
Browser, Windows, Mac, Linux | Free
This multiplayer pumpkin-carving celebration lets up to 200 players gather in a ghostly village illuminated by jack-o-lanterns. Recently updated for the 2024 Halloween season.
Windows, Mac, Linux | Free
This atmospheric horror adventure demo follows a soul wandering through the void after an untimely death. The game features striking PS1-inspired visuals. Players navigate through otherworldly environments while searching for their similarly-fated beloved. Originally released in 2021 with a revised demo out as of 2024.
Windows, Mac, Linux | Free
A narrative-driven RPG that follows a young boy’s first Harvest Festival experience. Multiple endings, autumn-themed environments, and dark secrets are to be found in this 1 and a half hour RPG.
Windows, Mac, Linux | Free
After a car breakdown leaves you stranded, you discover a mysterious house in the woods. INVITATIONEM is an old-school 2D point & click game with spooky pre-rendered graphics that can be completed in about 25 minutes.
Browser | Free
A first-person narrative game with distinctive hand-drawn textures, three different endings, and an unsettling atmosphere that builds throughout the experience. Don’t forget to check out the sequel as well: Good Boy 2.
Windows | Free
Finishing out our list is the top-rated spooky visual novel on itch.io. Take on the role of Marzipan, a witch who’s gone her whole life without kissing anyone until tonight. There are 10 endings, with 8 characters to kiss.
Browser, Windows, Mac, Linux | Free
What Halloween & Autumn-themed games have you been playing this year?
Views: 0
PC版「The Last of Us Part II Remastered」,本日発売。ゲーム本編に加えてローグライクなサバイバルモードも楽しめる
SIEは本日(2025年4月4日),PC版「TheLastofUsPartIIRemastered」の配信を,SteamとEpicGamesStoreで開始した。価格は5480円(税込)。本作は,NaughtyDogが手がけ,2020年にPlayStation4向けに発売された「TheLastofUsPartII」をリマスターしたものだ。
Source link
Views: 0
THE RAMPAGE川村壱馬、フォトエッセイに込めた熱い思い「ファンと信頼を築いてきたからこそ」
川村壱馬(THE RAMPAGE)の2ndフォトエッセイ「PROMISE」の刊行を記念した取材会が本日4月5日に東京・HMV&BOOKS SHIBUYAにて開催された。
Source link
Views: 0
Oracleがログインデータが流出したセキュリティインシデントを公式に認める – GIGAZINE
2025年3月21日、「rose87168」と名乗るハッカーがOracleのクラウドサービス「Oracle Cloud」のシングルサインオン(SSO)ログインサーバーから約600万件の顧客データを盗み出して販売しました。これに対し、Oracleは当初「不正アクセスは発生していない」との声明を発表していましたが、Oracleは2025年4月に、不正アクセスの事実を認め、顧客に対してその事実を報告したことが伝えられました。
Oracle (ORCL) Tells Clients of Second Recent Hack, Log-in Data Stolen – Bloomberg
https://www.bloomberg.com/news/articles/2025-04-02/oracle-tells-clients-of-second-recent-hack-log-in-data-stolen
Oracle tells clients of second recent hack, log-in data stolen, Bloomberg News reports | Reuters
https://www.reuters.com/technology/cybersecurity/oracle-tells-clients-second-recent-hack-log-in-data-stolen-bloomberg-news-2025-04-02/
「rose87168」を名乗る脅威アクターは2025年3月21日に、ハッキングフォーラム上で「Oracle CloudのSSOログインサーバーから600万件にのぼるSSOパスワードやキーストアファイル、キーファイルなどを盗み出した」と主張し、販売しました。
さらにrose87168は「Oracleの管理下にある『login.us2.oraclecloud.com』上に自分のメールアドレスを含むテキストファイルをアップロードした」と主張し、証拠としてInternet ArchiveのURLを提示しています。
これに対しOracleは「Oracle Cloudでのデータ流出は発生していません。当該脅威アクターが公開したログイン資格証明はOracle Cloudのものではありません。ゆえに、Oracle Cloudを利用する顧客に被害が及ぶことはありません」との声明を発表しました。その一方で、rose87168が証拠として提示したInternet Archiveのページを削除するよう要請したことが報じられています。
Oracleが自社クラウドで発生した深刻なセキュリティインシデントを顧客から隠そうとしてInternet Archiveに削除要求していることが暴露される – GIGAZINE
海外メディアのMidiumはOracleに対し「Oracleは、Oracle Cloudをめぐる騒動において言葉巧みに責任を回避しようとしています。これは許されることではありません。Oracleは何が起きたのか、それが顧客にどのような影響を与えるのかについて、明確かつオープンに伝える必要があります」と訴えていました。
そして2025年4月、Oracleは一部のクライアントに対し「ハッカーがコンピューターシステムに侵入し、ユーザー名やパスキー、暗号化されたパスワードにアクセスした」と通知し、不正アクセスの事実を認めました。関係者によると、OracleはFBIとサイバーセキュリティ企業のCrowdStrikeと共同で事件の調査を実施しているとのこと。また、Oracleに対してハッカーがデータの身代金を要求していることも伝えられています。
Oracleによると、今回の攻撃者は「レガシー環境」と呼ばれる8年間にわたり使用されていないシステムに侵入したとのこと。そのため、「盗まれたクライアントの資格情報がリスクをもたらすことはおそらくありません」と顧客に通知しています。しかし、ある関係者は「盗まれたデータには2024年までのOracleの顧客のログイン資格情報が含まれていました」と述べています。
サイバーセキュリティ企業・Trustwave SpiderLabs Threat Intelligenceのシニアセキュリティサーチマネージャーであるカール・シグラー氏は、rose87168が販売するデータがOracleから盗み出されたものであることを認め、「一連のデータは、ハッカーが対象に向けてフィッシングメールを送信し、ユーザーのアカウントを乗っ取るために使用できる豊富なデータセットです」と指摘しました。
この記事のタイトルとURLをコピーする
Views: 0
