Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Verified Accessから始めるゼロトラストセキュリティ
Search
Kento Suzuki
July 09, 2023
Technology
1
710
Verified Accessから始めるゼロトラストセキュリティ
2023/7/9 (日)
JAWS ミート 2023
https://jaws-ug-tokaido.connpass.com/event/276942/
Kento Suzuki
July 09, 2023
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶハワイアン航空で行く re:Invent
kentosuzuki
0
340
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
320
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
670
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
410
探せぇ!お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
710
SIEM って何?〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
940
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
380
新卒入社が考える『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
730
Cloudflare Pages使ってみた- ついでにAWS Amplifyもワカル -
kentosuzuki
3
1.2k
Other Decks in Technology
See All in Technology
20250818_KGX・One Hokkaidoコラボイベント
tohgeyukihiro
0
120
Android Studio の 新しいAI機能を試してみよう / Try out the new AI features in Android Studio
yanzm
0
130
どこで動かすか、誰が動かすか 〜 kintoneのインフラ基盤刷新と運用体制のシフト 〜
ueokande
0
100
なごミュ@SPAJAM2025 第二回予選
1901drama
0
110
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
6.4k
Exadata Database Service on Dedicated Infrastructure セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
1
330
【OptimizationNight】数理最適化のラストワンマイルとしてのUIUX
brainpadpr
2
560
Observability for LLM Application lifecycle
ivry_presentationmaterials
1
170
PFEM Online Feature Flag @ newmo
shinyaishitobi
2
180
datadog-distribution-of-opentelemetry-collector-intro
tetsuya28
0
170
意志の力が9割。アニメから学ぶAI時代のこれから。
endohizumi
1
110
文字列の並び順 / String Collation
tmtms
1
110
Featured
See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Thoughts on Productivity
jonyablonski
69
4.8k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.4k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Rails Girls Zürich Keynote
gr2m
95
14k
Transcript
07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified
Access
鈴⽊健⽃ @k_suzuki_pnx 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS
Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) ⾃⼰紹介
ライトニングトークまでの経緯 ・AWS Verified Access (AVA) がプレビューとして発表 → 初めて存在を知る re:Invent 2022
⼀般提供開始 (GA) re:Inforce 2023 JAWS ミート ・⼀般提供開始 (GA) → AVA の存在を思い出す ・re:Inforce のセッションを試聴した際に AVA が出てくる → ちょっと気になってくる ・公式ワークショップの存在を知る →ゼロトラストの勉強ついでにやってみる ・いい機会なので LT のネタにする 2022年11⽉ 2023年4⽉ 2023年6⽉ 2023年7⽉
要は AWS Verified Access を触るついでに ゼロトラストを勉強して ライトニングトークもしよう︕︕ そんな話
AWS Verified Access (AVA) と ゼロトラスト
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能
・東京リージョンでは利⽤不可 (2023/7/8 時点)
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・昨年の
re:Invent 2022 にてプレビューとして発表 ・2023/4/28 に⼀般提供開始 (GA) ・東京リージョンでは利⽤不可 (2023/7/3 時点) AVA !? 何それ︖ 美味しいの︖︖ ゼロトラスト is 何 ︖
ゼロトラストとは 背景 ・リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が曖昧になっている ・情報漏洩などネットワーク境界の内部にも脅威 ・DXの推進といった企業内のネットワークを超えて価値を⽣み出す必要性 内部ネットワークは安全︖
AWS 流ゼロトラストの考え⽅ ネットワーク Amazon VPC AWS PrivateLink IAM Amazon S3
(バケットポリシー) AWS KMS (キーポリシー) アイデンティティ ネットワークベースの制御とアイデンティティベースの制御を組み合わせる
AWS でよりセキュアな接続を実現する 社内ネットワークに VPN で接続してしまえば AWS 上の様々なリソースにアクセスできてしまう 必要最低限の⼈だけが 必要なリソースにだけ接続できるようにしたい
そこで選ばれたのが AWS Verified Access ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能 ・東京リージョンでは利⽤不可
(2023/7/8 時点) AWS Verified Access AWS Verified Access
AWS Verified Access ができること ・IAM Identity Center などのアイデンティティプロバイダー(IdP) で 認証を受けたユーザのみログイン可能といった制御が可能
・IdP は OpenID という規格に準拠していれば IAM Identity Center でなくても良い(Okta, Auth0 など) ・ AWS ポリシー⾔語である Cedar を使ってアクセスポリシーを記述 例) ・特定の IP アドレスを持つ場合は許可 ・IdP に対して特定の E メールアドレスで認証された場合は許可 ・MFA 認証していない場合は禁⽌
ワークショップをやってみる
ワークショップの流れ 1. Route53 の設定 2. AWS IAM Identity Center の設定
3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdP として IAM Identity Center か Okta を選択 AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US ① ② ③ ④
ワークショップをやってみて ・所要時間 3 時間程度 ・かかった費⽤ $ 0.36 ・会社のポリシー等で AWS IAM
Identity Center の利⽤が封印されている場合はできない (⾃アカウントでやった) 感想 ・⼿順の最後の⽅に CROWDSTRIKE によるデバイス制御的なのがあったけどよく分からん ・ AWS ポリシー⾔語である Cedar について、 正直「うわ、独⾃の⾔語…ダルいわ…」とか思ってたけど結構わかりやすかった ・「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT ワークショップはやって終わりじゃダメ やった後に何かアウトプットを︕
参考 AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ
LT 後追記 P15にて、 「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう… といった感想を述べたところ、 5⼈くらいの⽅から 「VPN
の廃⽌は結構需要あるよ」 「⽇本リージョンにも来たら使う/提案するわ」 といったコメントがありました。 こういった、「⾃分にない視点から意⾒をもらえて、知⾒がさらに広がる」といった意味でも、 ワークショップをやった後にアプトプットしてみると良いなと思いました。おしまい。