Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Verified Accessから始めるゼロトラストセキュリティ
Search
Kento Suzuki
July 09, 2023
Technology
840
2
Share
Verified Accessから始めるゼロトラストセキュリティ
2023/7/9 (日)
JAWS ミート 2023
https://jaws-ug-tokaido.connpass.com/event/276942/
Kento Suzuki
July 09, 2023
More Decks by Kento Suzuki
See All by Kento Suzuki
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
240
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
500
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
400
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
790
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
490
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
820
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
1.1k
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
500
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
850
Other Decks in Technology
See All in Technology
インプロセスQAのための要因から捉えるプロジェクトリスクマネジメントnano #1 開発リソース効率状態への対処 #jasstnano
barus_qa
0
220
LookerとADKで作る社内AIエージェント
chanyou0311
0
290
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.4k
Agentic AI時代における メルカリのAIガバナンスとガードレール実装
naoichihara
0
110
実践 TanStack Start ― 新規プロダクトを開発して確立した、サーバーとクライアント境界の設計パターン / Practical TanStack Start Server-Client Boundary Patterns
kaminashi
2
170
GCASアップデート(202603-202605)
techniczna
0
240
Slack MCPでインシデント対応とFAQ生成を加速する:社内ワークショップの実践
lycorptech_jp
PRO
0
110
Cortex(Code) を ML モデルの 精度改善サイクルに組み込む.pdf
oimo23
0
250
AI全盛の今だからこそ、あえてもう一度振り返るAPIの基礎
smt7174
3
150
ラズパイ & Picoで入門:Zephyr(RTOS)の環境構築からビルドまでの紹介
iotengineer22
0
170
TypeScriptで実現する既存APIを活用したリモートMCPサーバー構築 / TSKaigi 2026
soarteclab
1
180
AWSアップデートから考える継続的な運用改善
toru_kubota
2
330
Featured
See All Featured
Speed Design
sergeychernyshev
33
1.7k
Optimizing for Happiness
mojombo
378
71k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
Everyday Curiosity
cassininazir
0
210
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.1k
Designing for Performance
lara
611
70k
Building an army of robots
kneath
306
46k
Side Projects
sachag
455
43k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.8k
Design in an AI World
tapps
1
210
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
530
Transcript
07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified
Access
鈴⽊健⽃ @k_suzuki_pnx 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS
Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) ⾃⼰紹介
ライトニングトークまでの経緯 ・AWS Verified Access (AVA) がプレビューとして発表 → 初めて存在を知る re:Invent 2022
⼀般提供開始 (GA) re:Inforce 2023 JAWS ミート ・⼀般提供開始 (GA) → AVA の存在を思い出す ・re:Inforce のセッションを試聴した際に AVA が出てくる → ちょっと気になってくる ・公式ワークショップの存在を知る →ゼロトラストの勉強ついでにやってみる ・いい機会なので LT のネタにする 2022年11⽉ 2023年4⽉ 2023年6⽉ 2023年7⽉
要は AWS Verified Access を触るついでに ゼロトラストを勉強して ライトニングトークもしよう︕︕ そんな話
AWS Verified Access (AVA) と ゼロトラスト
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能
・東京リージョンでは利⽤不可 (2023/7/8 時点)
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・昨年の
re:Invent 2022 にてプレビューとして発表 ・2023/4/28 に⼀般提供開始 (GA) ・東京リージョンでは利⽤不可 (2023/7/3 時点) AVA !? 何それ︖ 美味しいの︖︖ ゼロトラスト is 何 ︖
ゼロトラストとは 背景 ・リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が曖昧になっている ・情報漏洩などネットワーク境界の内部にも脅威 ・DXの推進といった企業内のネットワークを超えて価値を⽣み出す必要性 内部ネットワークは安全︖
AWS 流ゼロトラストの考え⽅ ネットワーク Amazon VPC AWS PrivateLink IAM Amazon S3
(バケットポリシー) AWS KMS (キーポリシー) アイデンティティ ネットワークベースの制御とアイデンティティベースの制御を組み合わせる
AWS でよりセキュアな接続を実現する 社内ネットワークに VPN で接続してしまえば AWS 上の様々なリソースにアクセスできてしまう 必要最低限の⼈だけが 必要なリソースにだけ接続できるようにしたい
そこで選ばれたのが AWS Verified Access ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能 ・東京リージョンでは利⽤不可
(2023/7/8 時点) AWS Verified Access AWS Verified Access
AWS Verified Access ができること ・IAM Identity Center などのアイデンティティプロバイダー(IdP) で 認証を受けたユーザのみログイン可能といった制御が可能
・IdP は OpenID という規格に準拠していれば IAM Identity Center でなくても良い(Okta, Auth0 など) ・ AWS ポリシー⾔語である Cedar を使ってアクセスポリシーを記述 例) ・特定の IP アドレスを持つ場合は許可 ・IdP に対して特定の E メールアドレスで認証された場合は許可 ・MFA 認証していない場合は禁⽌
ワークショップをやってみる
ワークショップの流れ 1. Route53 の設定 2. AWS IAM Identity Center の設定
3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdP として IAM Identity Center か Okta を選択 AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US ① ② ③ ④
ワークショップをやってみて ・所要時間 3 時間程度 ・かかった費⽤ $ 0.36 ・会社のポリシー等で AWS IAM
Identity Center の利⽤が封印されている場合はできない (⾃アカウントでやった) 感想 ・⼿順の最後の⽅に CROWDSTRIKE によるデバイス制御的なのがあったけどよく分からん ・ AWS ポリシー⾔語である Cedar について、 正直「うわ、独⾃の⾔語…ダルいわ…」とか思ってたけど結構わかりやすかった ・「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT ワークショップはやって終わりじゃダメ やった後に何かアウトプットを︕
参考 AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ
LT 後追記 P15にて、 「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう… といった感想を述べたところ、 5⼈くらいの⽅から 「VPN
の廃⽌は結構需要あるよ」 「⽇本リージョンにも来たら使う/提案するわ」 といったコメントがありました。 こういった、「⾃分にない視点から意⾒をもらえて、知⾒がさらに広がる」といった意味でも、 ワークショップをやった後にアプトプットしてみると良いなと思いました。おしまい。
kentosuzuki
barus_qa
chanyou0311
oracle4engineer
naoichihara
kaminashi
techniczna
lycorptech_jp
oimo23
smt7174
iotengineer22
(1).png){kind=avatar}
soarteclab
toru_kubota
sergeychernyshev
mojombo
aleyda
cassininazir
eileencodes
lara
kneath
sachag
stephaniewalter
tapps
chikuwait
![07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified](https://files.speakerdeck.com/presentations/db1f7f9fc28b4a648be3b745501f0220/slide_0.jpg){kind=link}
