2023/7/9 (日) JAWS ミート 2023 https://jaws-ug-tokaido.connpass.com/event/276942/
07/08 JAWS ミート 2023[ ライトニングトーク ] 鈴木健斗AWS Verified Access
View Slide
鈴⽊健⽃ @k_suzuki_pnx所属アイレット株式会社(東京)業務AWSのインフラ構築・運⽤ → 提案・Japan AWS Top Engineer (2022, 2023)・Japan AWS All Certifications Engineer (2022, 2023 )・ AWS Community Builder(Cloud Operations)・iret テクニカルアンバサダー (2023)⾃⼰紹介
ライトニングトークまでの経緯・AWS Verified Access (AVA) がプレビューとして発表→ 初めて存在を知るre:Invent 2022⼀般提供開始 (GA)re:Inforce 2023JAWS ミート・⼀般提供開始 (GA)→ AVA の存在を思い出す・re:Inforce のセッションを試聴した際に AVA が出てくる→ ちょっと気になってくる・公式ワークショップの存在を知る→ゼロトラストの勉強ついでにやってみる・いい機会なので LT のネタにする2022年11⽉2023年4⽉2023年6⽉2023年7⽉
要はAWS Verified Access を触るついでにゼロトラストを勉強してライトニングトークもしよう︕︕そんな話
AWS Verified Access (AVA) と ゼロトラスト
AWS Verified Access (AVA) とは・ゼロトラストの基本原則に基づいて構築されたサービス・ VPN なしで企業アプリケーションに安全にアクセス・ユーザーとデバイス単位でアクセス制御をすることが可能・東京リージョンでは利⽤不可 (2023/7/8 時点)
AWS Verified Access (AVA) とは・ゼロトラストの基本原則に基づいて構築されたサービス・ VPN なしで企業アプリケーションに安全にアクセス・昨年の re:Invent 2022 にてプレビューとして発表・2023/4/28 に⼀般提供開始 (GA)・東京リージョンでは利⽤不可 (2023/7/3 時点)AVA !?何それ︖美味しいの︖︖ゼロトラスト is 何 ︖
ゼロトラストとは背景・リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が曖昧になっている・情報漏洩などネットワーク境界の内部にも脅威・DXの推進といった企業内のネットワークを超えて価値を⽣み出す必要性内部ネットワークは安全︖
AWS 流ゼロトラストの考え⽅ネットワークAmazon VPC AWS PrivateLink IAM Amazon S3(バケットポリシー)AWS KMS(キーポリシー)アイデンティティネットワークベースの制御とアイデンティティベースの制御を組み合わせる
AWS でよりセキュアな接続を実現する社内ネットワークに VPN で接続してしまえばAWS 上の様々なリソースにアクセスできてしまう必要最低限の⼈だけが必要なリソースにだけ接続できるようにしたい
そこで選ばれたのが AWS Verified Access・ゼロトラストの基本原則に基づいて構築されたサービス・ VPN なしで企業アプリケーションに安全にアクセス・ユーザーとデバイス単位でアクセス制御をすることが可能・東京リージョンでは利⽤不可 (2023/7/8 時点)AWS Verified AccessAWS Verified Access
AWS Verified Access ができること・IAM Identity Center などのアイデンティティプロバイダー(IdP) で認証を受けたユーザのみログイン可能といった制御が可能・IdP は OpenID という規格に準拠していればIAM Identity Center でなくても良い(Okta, Auth0 など)・ AWS ポリシー⾔語である Cedar を使ってアクセスポリシーを記述例)・特定の IP アドレスを持つ場合は許可・IdP に対して特定の E メールアドレスで認証された場合は許可・MFA 認証していない場合は禁⽌
ワークショップをやってみる
ワークショップの流れ1. Route53 の設定2. AWS IAM Identity Center の設定3. AWS Verified Access の設定4. AWS Verified Access でのアクセス制御※ IdP として IAM Identity Center か Okta を選択AWS Verified Access Workshophttps://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US①②③④
ワークショップをやってみて・所要時間 3 時間程度・かかった費⽤ $ 0.36・会社のポリシー等で AWS IAM Identity Center の利⽤が封印されている場合はできない(⾃アカウントでやった)感想・⼿順の最後の⽅に CROWDSTRIKE によるデバイス制御的なのがあったけどよく分からん・ AWS ポリシー⾔語である Cedar について、正直「うわ、独⾃の⾔語…ダルいわ…」とか思ってたけど結構わかりやすかった・「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない→ ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…
まとめワークショップをやるワークショップでやったことをテーマに LT技術要素やその背景に対する理解が深まるAWS Verified Access のワークショップをやった ゼロトラストの理解が深まったAWS Verified Access に関連するゼロトラストをテーマに LT
まとめワークショップをやるワークショップでやったことをテーマに LT技術要素やその背景に対する理解が深まるAWS Verified Access のワークショップをやった ゼロトラストの理解が深まったAWS Verified Access に関連するゼロトラストをテーマに LTワークショップはやって終わりじゃダメやった後に何かアウトプットを︕
参考AWS でゼロトラストを実現するためのアプローチ(AWS-39)https://www.youtube.com/watch?v=mkxyqEmgi8wre:Invent Re;Cap AWS Verified AccessにちょっぴりDDhttps://www.youtube.com/watch?v=ag_wLBtNnVQ
LT 後追記P15にて、「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない→ ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…といった感想を述べたところ、5⼈くらいの⽅から「VPN の廃⽌は結構需要あるよ」「⽇本リージョンにも来たら使う/提案するわ」といったコメントがありました。こういった、「⾃分にない視点から意⾒をもらえて、知⾒がさらに広がる」といった意味でも、ワークショップをやった後にアプトプットしてみると良いなと思いました。おしまい。