Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS VerifiedAccess

Avatar for Koheiawa Koheiawa
March 31, 2024
Technology
550
1

AWS VerifiedAccess

Avatar for Koheiawa

Koheiawa

March 31, 2024

More Decks by Koheiawa

See All by Koheiawa
AgentCoreMemory_FinJAWS
Avatar for Koheiawa koheiawa
0
16
CCoEセミナー_第33回_AWS_reInvent_社内Recap_v0.1.pdf
Avatar for Koheiawa koheiawa
0
33
Organizations_JAWS_Yokohama
Avatar for Koheiawa koheiawa
0
60
IAMAccessAnalyzer_Security-JAWS
Avatar for Koheiawa koheiawa
1
1.8k
SecurityHub_FinJAWS
Avatar for Koheiawa koheiawa
8
1.2k
DirectConnectSiteLink_みのるんさん勉強会
Avatar for Koheiawa koheiawa
1
4.7k

Other Decks in Technology

See All in Technology
データサイエンスを価値につなげるプロジェクト設計 〜 DS一年目が現場で得た気づき 〜
Avatar for Yusei Doi ysd113
1
280
iOS アプリの「これって不具合ですか?」を AI に調べてもらう
Avatar for Yuki Miida miichan
0
100
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
2
160
日本 Fintech 未来予測レポート 2027〜2028年(手動編集版)
Avatar for 8maki 8maki
1
2.5k
自宅LLMの話
Avatar for Kazuto Kusama jacopen
1
650
GitHub Copilot app最速の発信の裏側
Avatar for tomokusaba tomokusaba
1
190
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
Avatar for Recruit recruitengineers
PRO
1
150
あなたの知らないPDFのアクセシビリティ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
220
AI駆動開発を通して感じた、 AI時代のデザイナーの役割変化
Avatar for WHIsaiyo whisaiyo
4
2.3k
AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】
Avatar for サイバーセキュリティクラウド cscengineer
PRO
2
140
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.3k
現地で盛り上がった WWDC26 Keynote
Avatar for ZOZO Developers zozotech
PRO
1
270

Featured

See All Featured
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
210
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.3k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.5k
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
250
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
3
4.2k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
200
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.5k
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
390
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
160
The Spectacular Lies of Maps
Avatar for Per Axbom axbom
PRO
1
820
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.2k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
2k

Transcript

  1. AWS Verified Access の使いどころを VPNとの比較から考えてみる

  2. 突っ込んだことはそんなに話しません! AWSに興味がない方にもふんわり理解いただける内容になっています (と思います)

  3. 経歴 2020年入社(4年目) - 金融機関向けセキュリティ設計(AWS,ゼロトラスト推進等) - 社内AWSコミュニティ運営 趣味 - お酒を飲むこと -

    最近はバチェラー 自己紹介 粟ケ窪 康平

  4. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  5. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  6. エンタープライズではオンプレミスのVPNを踏み台にしてAWSへアクセスしていることが多い これを前提として話します

  7. セキュリティ的に、VPNから脱却したい理由はどこにある?

  8. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー グローバルIP

    大事なシステム 大事なシステム

  9. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー 外部からVPNの脆弱

    性を狙った攻撃が可能 グローバルIP 大事なシステム 大事なシステム

  10. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ 大事なシステム 大事なシステム

    VPNサーバー VPNを踏み台にして他の 大事なシステムに攻撃できる グローバルIP

  11. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    大事なシステム 大事なシステム

  12. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    最初のアクセスは グローバルIPアドレス で行われる 大事なシステム 大事なシステム

  13. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    認証後はプライベート IPアドレスで通信を行う 10.1.1.1 10.1.0.0/16 大事なシステム 大事なシステム

  14. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 仮想的にデータセンター 内部にいるとみなせる 大事なシステム 大事なシステム

  15. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 大事なシステム 端末に侵入したマルウェアがネットワークを移動してしまう ラテラルムーブメント といいます 大事なシステム 大事なシステム

  16. VPNと比べて、Verified Access になるとどうなる?

  17. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー その1:接続先がAWSマネージドな

    Verified Access 環境になる Verified Access エンドポイント プライベートサブネット 大事なシステム 裏でAWSがいい感 じに繋いでくれる 接続先は Verified Access 大事なシステム

  18. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム 攻撃が難しい その1:接続先がAWSマネージドな Verified Access 環境になる WAFで保護 もできる 大事なシステム

  19. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム その2:状態で判断できるようになる スコアが下がっている端 末を接続させないといっ た制御が可能になる 大事なシステム

  20. 個人的に考える AWS Verified Access の使いどころ

  21. AWSを補助的に用いている企業のVPNを置き換えることは難しい ✓ 現状、オンプレミスのシステムに Verified Access 経由で接続する仕組みはない ✓ 少数のAWSシステムに接続するためだけにサードパーティーとの統合を実施するのは荷が重い ✓ Zscaler

    や Netskope 等に軍配が上がるのではないか これからAWSを使い始めたいスタートアップとかにはとてもよい AWSメインの企業には一定のニーズがある ✓ ゼロトラスト製品はコスト高なので、AWSに多数のシステムがある企業がAWSへの接続をゼロトラストにしたい場合にはよい選択だと思う ただし、Verified Access への移行の際には痛みを伴いそうなのでゼロトラストへの熱量次第 ✓ 重要システムへのアクセスには Verified Access という方針でシステムを構築していくのはよいと思う!!