$30 off During Our Annual Pro Sale. View Details »

Verified Accessから始めるゼロトラストセキュリティ

Verified Accessから始めるゼロトラストセキュリティ

2023/7/9 (日)
JAWS ミート 2023
https://jaws-ug-tokaido.connpass.com/event/276942/

Kento Suzuki

July 09, 2023
Tweet

More Decks by Kento Suzuki

Other Decks in Technology

Transcript

  1. 07/08 JAWS ミート 2023
    [ ライトニングトーク ] 鈴木健斗
    AWS Verified Access

    View Slide

  2. 鈴⽊健⽃ @k_suzuki_pnx
    所属
    アイレット株式会社(東京)
    業務
    AWSのインフラ構築・運⽤ → 提案
    ・Japan AWS Top Engineer (2022, 2023)
    ・Japan AWS All Certifications Engineer (2022, 2023 )
    ・ AWS Community Builder(Cloud Operations)
    ・iret テクニカルアンバサダー (2023)
    ⾃⼰紹介

    View Slide

  3. ライトニングトークまでの経緯
    ・AWS Verified Access (AVA) がプレビューとして発表
    → 初めて存在を知る
    re:Invent 2022
    ⼀般提供開始 (GA)
    re:Inforce 2023
    JAWS ミート
    ・⼀般提供開始 (GA)
    → AVA の存在を思い出す
    ・re:Inforce のセッションを試聴した際に AVA が出てくる
    → ちょっと気になってくる
    ・公式ワークショップの存在を知る
    →ゼロトラストの勉強ついでにやってみる
    ・いい機会なので LT のネタにする
    2022年11⽉
    2023年4⽉
    2023年6⽉
    2023年7⽉

    View Slide

  4. 要は
    AWS Verified Access を触るついでに
    ゼロトラストを勉強して
    ライトニングトークもしよう︕︕
    そんな話

    View Slide

  5. AWS Verified Access (AVA) と ゼロトラスト

    View Slide

  6. AWS Verified Access (AVA) とは
    ・ゼロトラストの基本原則に基づいて構築されたサービス
    ・ VPN なしで企業アプリケーションに安全にアクセス
    ・ユーザーとデバイス単位でアクセス制御をすることが可能
    ・東京リージョンでは利⽤不可 (2023/7/8 時点)

    View Slide

  7. AWS Verified Access (AVA) とは
    ・ゼロトラストの基本原則に基づいて構築されたサービス
    ・ VPN なしで企業アプリケーションに安全にアクセス
    ・昨年の re:Invent 2022 にてプレビューとして発表
    ・2023/4/28 に⼀般提供開始 (GA)
    ・東京リージョンでは利⽤不可 (2023/7/3 時点)
    AVA !?
    何それ︖
    美味しいの︖︖
    ゼロトラスト is 何 ︖

    View Slide

  8. ゼロトラストとは
    背景
    ・リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が曖昧になっている
    ・情報漏洩などネットワーク境界の内部にも脅威
    ・DXの推進といった企業内のネットワークを超えて価値を⽣み出す必要性
    内部ネットワークは安全︖

    View Slide

  9. AWS 流ゼロトラストの考え⽅
    ネットワーク
    Amazon VPC AWS PrivateLink IAM Amazon S3
    (バケットポリシー)
    AWS KMS
    (キーポリシー)
    アイデンティティ
    ネットワークベースの制御とアイデンティティベースの制御を組み合わせる

    View Slide

  10. AWS でよりセキュアな接続を実現する
    社内ネットワークに VPN で接続してしまえば
    AWS 上の様々なリソースにアクセスできてしまう
    必要最低限の⼈だけが
    必要なリソースにだけ接続できるようにしたい

    View Slide

  11. そこで選ばれたのが AWS Verified Access
    ・ゼロトラストの基本原則に基づいて構築されたサービス
    ・ VPN なしで企業アプリケーションに安全にアクセス
    ・ユーザーとデバイス単位でアクセス制御をすることが可能
    ・東京リージョンでは利⽤不可 (2023/7/8 時点)
    AWS Verified Access
    AWS Verified Access

    View Slide

  12. AWS Verified Access ができること
    ・IAM Identity Center などのアイデンティティプロバイダー(IdP) で
    認証を受けたユーザのみログイン可能といった制御が可能
    ・IdP は OpenID という規格に準拠していれば
    IAM Identity Center でなくても良い(Okta, Auth0 など)
    ・ AWS ポリシー⾔語である Cedar を使ってアクセスポリシーを記述
    例)
    ・特定の IP アドレスを持つ場合は許可
    ・IdP に対して特定の E メールアドレスで認証された場合は許可
    ・MFA 認証していない場合は禁⽌

    View Slide

  13. ワークショップをやってみる

    View Slide

  14. ワークショップの流れ
    1. Route53 の設定
    2. AWS IAM Identity Center の設定
    3. AWS Verified Access の設定
    4. AWS Verified Access でのアクセス制御
    ※ IdP として IAM Identity Center か Okta を選択
    AWS Verified Access Workshop
    https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US




    View Slide

  15. ワークショップをやってみて
    ・所要時間 3 時間程度
    ・かかった費⽤ $ 0.36
    ・会社のポリシー等で AWS IAM Identity Center の利⽤が封印されている場合はできない
    (⾃アカウントでやった)
    感想
    ・⼿順の最後の⽅に CROWDSTRIKE によるデバイス制御的なのがあったけどよく分からん
    ・ AWS ポリシー⾔語である Cedar について、
    正直「うわ、独⾃の⾔語…ダルいわ…」とか思ってたけど結構わかりやすかった
    ・「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない
    → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…

    View Slide

  16. まとめ
    ワークショップをやる
    ワークショップで
    やったことを
    テーマに LT
    技術要素やその背景に
    対する理解が深まる
    AWS Verified Access の
    ワークショップをやった ゼロトラストの理解が深まった
    AWS Verified Access に関連する
    ゼロトラストをテーマに LT

    View Slide

  17. まとめ
    ワークショップをやる
    ワークショップで
    やったことを
    テーマに LT
    技術要素やその背景に
    対する理解が深まる
    AWS Verified Access の
    ワークショップをやった ゼロトラストの理解が深まった
    AWS Verified Access に関連する
    ゼロトラストをテーマに LT
    ワークショップはやって終わりじゃダメ
    やった後に何かアウトプットを︕

    View Slide

  18. 参考
    AWS でゼロトラストを実現するためのアプローチ(AWS-39)
    https://www.youtube.com/watch?v=mkxyqEmgi8w
    re:Invent Re;Cap AWS Verified AccessにちょっぴりDD
    https://www.youtube.com/watch?v=ag_wLBtNnVQ

    View Slide

  19. LT 後追記
    P15にて、
    「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない
    → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…
    といった感想を述べたところ、
    5⼈くらいの⽅から
    「VPN の廃⽌は結構需要あるよ」
    「⽇本リージョンにも来たら使う/提案するわ」
    といったコメントがありました。
    こういった、「⾃分にない視点から意⾒をもらえて、知⾒がさらに広がる」といった意味でも、
    ワークショップをやった後にアプトプットしてみると良いなと思いました。おしまい。

    View Slide