Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Verified Accessから始めるゼロトラストセキュリティ
Search
Kento Suzuki
July 09, 2023
Technology
1
770
Verified Accessから始めるゼロトラストセキュリティ
2023/7/9 (日)
JAWS ミート 2023
https://jaws-ug-tokaido.connpass.com/event/276942/
Kento Suzuki
July 09, 2023
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
450
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
360
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
730
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
450
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
780
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
1k
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
430
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
800
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
kentosuzuki
3
1.3k
Other Decks in Technology
See All in Technology
「違う現場で格闘する二人」——社内コミュニティがつないだトヨタ流アジャイルの実践とその先
shinichitakeuchi
0
320
Data Hubグループ 紹介資料
sansan33
PRO
0
2.6k
戰略轉變:從建構 AI 代理人到發展可擴展的技能生態系統
appleboy
0
190
名刺メーカーDevグループ 紹介資料
sansan33
PRO
0
1k
モノタロウ x クリエーションラインで実現する チームトポロジーにおける プラットフォームチーム・ ストリームアラインドチームの 効果的なコラボレーション
creationline
0
770
Master Dataグループ紹介資料
sansan33
PRO
1
4.2k
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
5
61k
スクラムを一度諦めたチームにアジャイルコーチが入ってどう変化したか / A Team's Second Try at Scrum with an Agile Coach
kaonavi
0
210
「駆動」って言葉、なんかカッコイイ_Mitz
comucal
PRO
0
140
SES向け、生成AI時代におけるエンジニアリングとセキュリティ
longbowxxx
0
320
人工知能のための哲学塾 ニューロフィロソフィ篇 第零夜 「ニューロフィロソフィとは何か?」
miyayou
0
430
スクラムマスターが スクラムチームに入って取り組む5つのこと - スクラムガイドには書いてないけど入った当初から取り組んでおきたい大切なこと -
scrummasudar
3
2k
Featured
See All Featured
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
51
sira's awesome portfolio website redesign presentation
elsirapls
0
110
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
97
30 Presentation Tips
portentint
PRO
1
190
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.1k
Speed Design
sergeychernyshev
33
1.5k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
55
How to build a perfect <img>
jonoalderson
1
4.8k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.3k
Faster Mobile Websites
deanohume
310
31k
Transcript
07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified
Access
鈴⽊健⽃ @k_suzuki_pnx 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS
Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) ⾃⼰紹介
ライトニングトークまでの経緯 ・AWS Verified Access (AVA) がプレビューとして発表 → 初めて存在を知る re:Invent 2022
⼀般提供開始 (GA) re:Inforce 2023 JAWS ミート ・⼀般提供開始 (GA) → AVA の存在を思い出す ・re:Inforce のセッションを試聴した際に AVA が出てくる → ちょっと気になってくる ・公式ワークショップの存在を知る →ゼロトラストの勉強ついでにやってみる ・いい機会なので LT のネタにする 2022年11⽉ 2023年4⽉ 2023年6⽉ 2023年7⽉
要は AWS Verified Access を触るついでに ゼロトラストを勉強して ライトニングトークもしよう︕︕ そんな話
AWS Verified Access (AVA) と ゼロトラスト
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能
・東京リージョンでは利⽤不可 (2023/7/8 時点)
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・昨年の
re:Invent 2022 にてプレビューとして発表 ・2023/4/28 に⼀般提供開始 (GA) ・東京リージョンでは利⽤不可 (2023/7/3 時点) AVA !? 何それ︖ 美味しいの︖︖ ゼロトラスト is 何 ︖
ゼロトラストとは 背景 ・リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が曖昧になっている ・情報漏洩などネットワーク境界の内部にも脅威 ・DXの推進といった企業内のネットワークを超えて価値を⽣み出す必要性 内部ネットワークは安全︖
AWS 流ゼロトラストの考え⽅ ネットワーク Amazon VPC AWS PrivateLink IAM Amazon S3
(バケットポリシー) AWS KMS (キーポリシー) アイデンティティ ネットワークベースの制御とアイデンティティベースの制御を組み合わせる
AWS でよりセキュアな接続を実現する 社内ネットワークに VPN で接続してしまえば AWS 上の様々なリソースにアクセスできてしまう 必要最低限の⼈だけが 必要なリソースにだけ接続できるようにしたい
そこで選ばれたのが AWS Verified Access ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能 ・東京リージョンでは利⽤不可
(2023/7/8 時点) AWS Verified Access AWS Verified Access
AWS Verified Access ができること ・IAM Identity Center などのアイデンティティプロバイダー(IdP) で 認証を受けたユーザのみログイン可能といった制御が可能
・IdP は OpenID という規格に準拠していれば IAM Identity Center でなくても良い(Okta, Auth0 など) ・ AWS ポリシー⾔語である Cedar を使ってアクセスポリシーを記述 例) ・特定の IP アドレスを持つ場合は許可 ・IdP に対して特定の E メールアドレスで認証された場合は許可 ・MFA 認証していない場合は禁⽌
ワークショップをやってみる
ワークショップの流れ 1. Route53 の設定 2. AWS IAM Identity Center の設定
3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdP として IAM Identity Center か Okta を選択 AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US ① ② ③ ④
ワークショップをやってみて ・所要時間 3 時間程度 ・かかった費⽤ $ 0.36 ・会社のポリシー等で AWS IAM
Identity Center の利⽤が封印されている場合はできない (⾃アカウントでやった) 感想 ・⼿順の最後の⽅に CROWDSTRIKE によるデバイス制御的なのがあったけどよく分からん ・ AWS ポリシー⾔語である Cedar について、 正直「うわ、独⾃の⾔語…ダルいわ…」とか思ってたけど結構わかりやすかった ・「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT ワークショップはやって終わりじゃダメ やった後に何かアウトプットを︕
参考 AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ
LT 後追記 P15にて、 「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう… といった感想を述べたところ、 5⼈くらいの⽅から 「VPN
の廃⽌は結構需要あるよ」 「⽇本リージョンにも来たら使う/提案するわ」 といったコメントがありました。 こういった、「⾃分にない視点から意⾒をもらえて、知⾒がさらに広がる」といった意味でも、 ワークショップをやった後にアプトプットしてみると良いなと思いました。おしまい。
kentosuzuki
shinichitakeuchi
sansan33
appleboy
creationline
kaonavi
comucal
longbowxxx
miyayou
scrummasudar
tmiket
elsirapls
.png){kind=avatar}
helenjbeal
portentint
irinanazarova
sergeychernyshev
addyosmani
eileencodes
marketingsoph
jonoalderson
tammyeverts
deanohume
![07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified](https://files.speakerdeck.com/presentations/db1f7f9fc28b4a648be3b745501f0220/slide_0.jpg){kind=link}
