Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端...
Search
iret.kumoben
May 30, 2024
Technology
1
300
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~
下記、勉強会での資料です。
https://youtu.be/r171c_hV-9M
iret.kumoben
May 30, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第159回 雲勉 Amazon Bedrock でブラウザを操作する AI エージェントを作ってみた
iret
0
36
第158回 雲勉 AWS CDK 入門 ~ プログラミング言語で書くインフラ Python 編 ~
iret
0
32
第157回 雲勉 AWSインフラ監視をNew Relicで行う際の個人的Tips
iret
0
38
第156回 雲勉 AWS on Windows入門
iret
0
74
第155回 雲勉 サーバレスアーキテクチャを 用いたコスト重視 AI サービス
iret
0
52
第154回 雲勉 AWS Codeシリーズ盛り上げ隊 ~ Codeシリーズは砕けない ~
iret
0
55
第153回 雲勉 トラシューが秒で終わる新機能 Amazon Q Developer operational investigations
iret
0
65
第150回 雲勉 AWS AppSyncではじめるGraphQL体験
iret
0
61
第151回 雲勉 プロジェクトのドキュメントにおける課題をAmazon Bedrockで解決してみる
iret
0
75
Other Decks in Technology
See All in Technology
ゆるくVPC Latticeについてまとめてみたら、意外と奥深い件
masakiokuda
2
200
小さく始めるDevOps 内製化支援から見えたDevOpsの始め方 / 20250317 Ken Takayanagi
shift_evolve
1
120
チームビルディング「脅威モデリング」ワークショップ
koheiyoshikawa
0
180
サーバシステムを無理なくコンテナ移行する際に伝えたい4つのポイント/Container_Happy_Migration_Method
ozawa
1
120
データベースで見る『家族アルバム みてね』の変遷 / The Evolution of Family Album Through the Lens of Databases
kohbis
4
1k
大規模サービスにおける カスケード障害
takumiogawa
3
770
DevOps文化を育むQA 〜カルチャーバブルを生み出す戦略〜 / 20250317 Atsushi Funahashi
shift_evolve
1
120
3/26 クラウド食堂LT #2 GenU案件を通して学んだ教訓 登壇資料
ymae
1
240
TopAppBar Composableをカスタムする
hunachi
0
170
7,000名規模の 人材サービス企業における プロダクト戦略・戦術と課題 / Product strategy, tactics and challenges for a 7,000-employee staffing company
techtekt
0
200
滑らかなユーザー体験も目指す注文管理のマイクロサービス化〜注文情報CSVダウンロード機能の事例〜
demaecan
0
130
Cline、めっちゃ便利、お金が飛ぶ💸
iwamot
20
19k
Featured
See All Featured
A Modern Web Designer's Workflow
chriscoyier
693
190k
Scaling GitHub
holman
459
140k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.2k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
8
720
Making the Leap to Tech Lead
cromwellryan
133
9.2k
Reflections from 52 weeks, 52 projects
jeffersonlam
349
20k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.6k
Music & Morning Musume
bryan
46
6.4k
How to Think Like a Performance Engineer
csswizardry
22
1.5k
Mobile First: as difficult as doing things right
swwweet
223
9.5k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
51
2.4k
Transcript
第135回 雲勉【オンライン】 AWS Verified Access⼊⾨ 〜VPNを利⽤せずに拠点/端末からAWSへアクセス〜
0.講師⾃⼰紹介 2 n 鈴⽊健⽃ 所属︓クラウドインテグレーション事業部 経歴︓新卒⼊社5年 業務︓AWSのインフラ構築/運⽤ → 提案/PMO ・Japan
AWS Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023)
アジェンダ 3 0. ⾃⼰紹介 1. AWS Verified Accessとゼロトラスト 2. AWS
Verified Accessのワークショップをやってみる 3. AWS Verified Accessの費⽤について 4. まとめ
1. AWS Verified Accessとゼロトラスト 4
AWS Verified Access (AVA) の歴史 5 re:Invent 2022にてプレビューとして発表される 2022年11⽉ 2023年4⽉
⼀般提供開始(⼀部リージョンのみ) 東京リージョンでも 利⽤可能になる 2023年10⽉
AWS Verified Access (AVA) とは 6 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能
AWS Verified Access (AVA) とは 7 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能 ゼロトラスト って何︖ どうやって アクセス制御する︖ 費⽤は︖
AWSにおけるゼロトラストとは 8 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
AWSにおけるゼロトラストとは 9 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
リモートワークによる働き⽅
AWSにおけるゼロトラストとは 10 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
内部の⼈間が全員アクセス できる状況って 安全なの︖
AWSにおけるゼロトラストとは 11 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
社内ネットワークだけではなく 社員のデバイスやクラウド環境などとも 相互に通信する必要がある
AWSにおけるゼロトラストとは 12 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル
AWSにおけるゼロトラストとは 13 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル 拠点内部のネットワークだから安全という考えは捨てろ
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 14 社内ネットワークにVPNで接続してしまえばAWSの様々なリソースにアクセスできてしまう
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 15 最低限のユーザが必要なリソースにだけにアクセスできるようにしたい
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 16 そこで選ばれたのがAWS Verified Access
AWS Verified Accessでできること 17 Ø IAM Identity Center などのアイデンティティプロバイダー(IdP) で
認証を受けたユーザのみログイン可能といった制御が可能 (IdP は OpenID という規格に準拠していればOkta, Auth0 なども利⽤可能) Ø AWSが開発したオープンソースのポリシー⾔語であるCedarを使ってアクセスポリシーを記述 Cedarは以下のような特徴を持つ ・表現の幅広さ ・⾼性能 ・分析のしやすさ
AWS Verified Accessでできることの例 18 AWS Verified Accessを利⽤すると以下のようなアクセス制御ができる Ø 特定のIPアドレスを持つ場合は許可 Ø
特定のEメールアドレスでIdpの認証を受けた場合は許可 Ø MFA認証していない場合は禁⽌
AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅ 19 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する
20 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅
2. AWS Verified Accessのワークショップをやってみる 21
AWS Verified Access Workshop 22 1. Route53の設定 2. AWS IAM
Identity Center の設定 3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdPとしてIAM Identity CenterかOktaを選択 ① ② ③ ④ AWS Verified Accessの構築と簡単なアクセス制御を実際に試してみることができる
ワークショップをやってみて 23 Ø 所要時間︓3時間程度 Ø かかった費⽤$0.36 Ø 備考 SCPやIAMポリシー等、企業のポリシーでIAM Identity
Centerの利⽤が制限されている場合は 実施できない 感想 Ø AWS ポリシー⾔語であるCedarについて、独⾃の⾔語であるため、難しいように思えたが、 理解しやすい構造だった Ø 既存のIAM Identity Centerが存在している場合、リソースの作成に失敗し、 トラブルシューティングに時間がかかった
Cedarについて理解を深めたい場合 24 AWS ポリシー⾔語であるCedarを体験できるCedar Playgroundというサイトがある。 ・AWS アカウントにログインする必要がない ・対応⾔語は英語のみ、⽇本語⾮対応 https://www.cedarpolicy.com/en
Cedar Playgroundでできること 25 アクセス制御のポリシー定義 ポリシーに対してリクエストを投げる
Cedar Playgroundでできること 26 ③ リクエストの結果を確認
3. AWS Verified Accessの費⽤について 27
AWS Verified Accessで料⾦が発⽣する対象 28 Ø アプリケーション時間 ・アクティブな Verified Access エンドポイントに関連付けられた各アプリケーションに対して、
1時間ごとに課⾦ ・1 時間に満たないアプリケーション時間 (アプリ時間) は 1 時間として課⾦ Ø GB (処理済みデータ) ・Verified Access によって処理されたデータについて GB 単位で課⾦ アプリ時間の階層料⾦ 料⾦ 1〜148,800 アプリケーション時間 (1 か⽉に最⼤ 200 個のアプリケーションをカバー) 0.35USD/時間 148,800 + アプリケーション時間 0.26USD/時間 処理済みデータ 料⾦ データ1GBあたり 0.02USD ※東京リージョンの利⽤料
AWS Verified AccessとAWS VPNの料⾦を⽐較 29 Ø 料⾦でAWS Verified AccessとAWS VPNを⽐べるとアプリケーション時間
0.35USD/時間は少し割⾼ ・サイト間VPN 接続ごと 0.048USD/時間 ・Client VPN エンドポイントアソシエーションに 0.15USD/時間 接続ごとに 0.05USD/時間 ※東京リージョンの利⽤料
4. まとめ 30
まとめ 31 Ø AWS Verified AccessはユーザIDやデバイスに基づいて、 VPNよりもきめ細かいアクセス制御が求められるユースケースで利⽤できる Ø 実際に触ってみたい場合、AWS Verified
Access Workshopをやってみることで、 イメージを掴むことができる Ø 拠点とAWSを繋ぐ⼿段として、VPNと⽐べると割⾼
32 AWS Verified Access利⽤する上での注意 AWS Verified Accessから踏み台サーバ経由でそれぞれのアプリケーションへアクセスするような 使い⽅をする場合、踏み台にアクセスできてしまうと後段のサーバにもアクセスできるため、 アクセス制御があまり意味をなさない このケースであれば、費⽤⾯を考慮して
AWS VPNの利⽤を検討
参考 33 ・AWS でのゼロトラスト https://aws.amazon.com/jp/security/zero-trust/ ・AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US
・AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w ・re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ ・AWS Verified Access の料⾦ https://aws.amazon.com/jp/verified-access/pricing/ ・ AWS VPN の料⾦ https://aws.amazon.com/jp/vpn/pricing/