Upgrade to Pro — share decks privately, control downloads, hide ads and more …

第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端...

iret.kumoben
May 30, 2024
Technology
1
200

第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~

下記、勉強会での資料です。
https://youtu.be/r171c_hV-9M

iret.kumoben

May 30, 2024
Tweet

More Decks by iret.kumoben

See All by iret.kumoben
第148回 雲勉 Web アプリケーションセキュリティ
iret
0
26
第147回 雲勉 Amazon CloudWatchをウォッチ!
iret
0
46
第146回 雲勉 BLEAを眺めてCDKの書き方について学ぶ
iret
1
50
第145回 雲勉 Amazon ECSでサービス間通信する方法を調べてみよう
iret
0
47
第144回 雲勉 Amazon Aurora Serverless v2の基礎とアーキの裏側を覗いてみる
iret
0
94
第143回 雲勉 [New Relic]インフラストラクチャ監視と気をつけたいポイント
iret
0
44
第142回 雲勉 AWS Backupの復元テストで自動化できること・できないこと
iret
0
100
第141回 雲勉 Amazon Inspectorによる脆弱性管理~ECR コンテナイメージ編~
iret
0
280
第2回 雲勉LT大会 パブリッククラウドのサーバレスサービスの違いを調べてみた
iret
0
26

Other Decks in Technology

See All in Technology
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
210
バクラクのドキュメント解析技術と実データにおける課題 / layerx-ccc-winter-2024
shimacos
2
1k
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
180
CustomCopを使ってMongoidのコーディングルールを整えてみた
jinoketani
0
220
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
420
20241214_WACATE2024冬_テスト設計技法をチョット俯瞰してみよう
kzsuzuki
3
440
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
31k
【re:Invent 2024 アプデ】 Prompt Routing の紹介
champ
0
140
フロントエンド設計にモブ設計を導入してみた / 20241212_cloudsign_TechFrontMeetup
bengo4com
0
1.9k
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
140
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
120
20241220_S3 tablesの使い方を検証してみた
handy
3
190

Featured

See All Featured
Automating Front-end Workflow
addyosmani
1366
200k
Side Projects
sachag
452
42k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
28
900
A designer walks into a library…
pauljervisheath
204
24k
The Cost Of JavaScript in 2023
addyosmani
45
7k
YesSQL, Process and Tooling at Scale
rocio
169
14k
The Pragmatic Product Professional
lauravandoore
32
6.3k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.2k

Transcript

  1. 第135回 雲勉【オンライン】 AWS Verified Access⼊⾨ 〜VPNを利⽤せずに拠点/端末からAWSへアクセス〜

  2. 0.講師⾃⼰紹介 2 n 鈴⽊健⽃ 所属︓クラウドインテグレーション事業部 経歴︓新卒⼊社5年 業務︓AWSのインフラ構築/運⽤ → 提案/PMO ・Japan

    AWS Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023)

  3. アジェンダ 3 0. ⾃⼰紹介 1. AWS Verified Accessとゼロトラスト 2. AWS

    Verified Accessのワークショップをやってみる 3. AWS Verified Accessの費⽤について 4. まとめ

  4. 1. AWS Verified Accessとゼロトラスト 4

  5. AWS Verified Access (AVA) の歴史 5 re:Invent 2022にてプレビューとして発表される 2022年11⽉ 2023年4⽉

    ⼀般提供開始(⼀部リージョンのみ) 東京リージョンでも 利⽤可能になる 2023年10⽉

  6. AWS Verified Access (AVA) とは 6 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能

    Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能

  7. AWS Verified Access (AVA) とは 7 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能

    Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能 ゼロトラスト って何︖ どうやって アクセス制御する︖ 費⽤は︖

  8. AWSにおけるゼロトラストとは 8 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた

  9. AWSにおけるゼロトラストとは 9 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた

    リモートワークによる働き⽅

  10. AWSにおけるゼロトラストとは 10 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた

    内部の⼈間が全員アクセス できる状況って 安全なの︖

  11. AWSにおけるゼロトラストとは 11 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた

    社内ネットワークだけではなく 社員のデバイスやクラウド環境などとも 相互に通信する必要がある

  12. AWSにおけるゼロトラストとは 12 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル

  13. AWSにおけるゼロトラストとは 13 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル 拠点内部のネットワークだから安全という考えは捨てろ

  14. 従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 14 社内ネットワークにVPNで接続してしまえばAWSの様々なリソースにアクセスできてしまう

  15. 従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 15 最低限のユーザが必要なリソースにだけにアクセスできるようにしたい

  16. 従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 16 そこで選ばれたのがAWS Verified Access

  17. AWS Verified Accessでできること 17 Ø IAM Identity Center などのアイデンティティプロバイダー(IdP) で

    認証を受けたユーザのみログイン可能といった制御が可能 (IdP は OpenID という規格に準拠していればOkta, Auth0 なども利⽤可能) Ø AWSが開発したオープンソースのポリシー⾔語であるCedarを使ってアクセスポリシーを記述 Cedarは以下のような特徴を持つ ・表現の幅広さ ・⾼性能 ・分析のしやすさ

  18. AWS Verified Accessでできることの例 18 AWS Verified Accessを利⽤すると以下のようなアクセス制御ができる Ø 特定のIPアドレスを持つ場合は許可 Ø

    特定のEメールアドレスでIdpの認証を受けた場合は許可 Ø MFA認証していない場合は禁⽌

  19. AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅ 19 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する

  20. 20 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅

  21. 2. AWS Verified Accessのワークショップをやってみる 21

  22. AWS Verified Access Workshop 22 1. Route53の設定 2. AWS IAM

    Identity Center の設定 3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdPとしてIAM Identity CenterかOktaを選択 ① ② ③ ④ AWS Verified Accessの構築と簡単なアクセス制御を実際に試してみることができる

  23. ワークショップをやってみて 23 Ø 所要時間︓3時間程度 Ø かかった費⽤$0.36 Ø 備考 SCPやIAMポリシー等、企業のポリシーでIAM Identity

    Centerの利⽤が制限されている場合は 実施できない 感想 Ø AWS ポリシー⾔語であるCedarについて、独⾃の⾔語であるため、難しいように思えたが、 理解しやすい構造だった Ø 既存のIAM Identity Centerが存在している場合、リソースの作成に失敗し、 トラブルシューティングに時間がかかった

  24. Cedarについて理解を深めたい場合 24 AWS ポリシー⾔語であるCedarを体験できるCedar Playgroundというサイトがある。 ・AWS アカウントにログインする必要がない ・対応⾔語は英語のみ、⽇本語⾮対応 https://www.cedarpolicy.com/en

  25. Cedar Playgroundでできること 25 アクセス制御のポリシー定義 ポリシーに対してリクエストを投げる

  26. Cedar Playgroundでできること 26 ③ リクエストの結果を確認

  27. 3. AWS Verified Accessの費⽤について 27

  28. AWS Verified Accessで料⾦が発⽣する対象 28 Ø アプリケーション時間 ・アクティブな Verified Access エンドポイントに関連付けられた各アプリケーションに対して、

    1時間ごとに課⾦ ・1 時間に満たないアプリケーション時間 (アプリ時間) は 1 時間として課⾦ Ø GB (処理済みデータ) ・Verified Access によって処理されたデータについて GB 単位で課⾦ アプリ時間の階層料⾦ 料⾦ 1〜148,800 アプリケーション時間 (1 か⽉に最⼤ 200 個のアプリケーションをカバー) 0.35USD/時間 148,800 + アプリケーション時間 0.26USD/時間 処理済みデータ 料⾦ データ1GBあたり 0.02USD ※東京リージョンの利⽤料

  29. AWS Verified AccessとAWS VPNの料⾦を⽐較 29 Ø 料⾦でAWS Verified AccessとAWS VPNを⽐べるとアプリケーション時間

    0.35USD/時間は少し割⾼ ・サイト間VPN 接続ごと 0.048USD/時間 ・Client VPN エンドポイントアソシエーションに 0.15USD/時間 接続ごとに 0.05USD/時間 ※東京リージョンの利⽤料

  30. 4. まとめ 30

  31. まとめ 31 Ø AWS Verified AccessはユーザIDやデバイスに基づいて、 VPNよりもきめ細かいアクセス制御が求められるユースケースで利⽤できる Ø 実際に触ってみたい場合、AWS Verified

    Access Workshopをやってみることで、 イメージを掴むことができる Ø 拠点とAWSを繋ぐ⼿段として、VPNと⽐べると割⾼

  32. 32 AWS Verified Access利⽤する上での注意 AWS Verified Accessから踏み台サーバ経由でそれぞれのアプリケーションへアクセスするような 使い⽅をする場合、踏み台にアクセスできてしまうと後段のサーバにもアクセスできるため、 アクセス制御があまり意味をなさない このケースであれば、費⽤⾯を考慮して

    AWS VPNの利⽤を検討

  33. 参考 33 ・AWS でのゼロトラスト https://aws.amazon.com/jp/security/zero-trust/ ・AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US

    ・AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w ・re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ ・AWS Verified Access の料⾦ https://aws.amazon.com/jp/verified-access/pricing/ ・ AWS VPN の料⾦ https://aws.amazon.com/jp/vpn/pricing/