Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS VerifiedAccess

Koheiawa
PRO
March 31, 2024
Technology
1
13

AWS VerifiedAccess

Koheiawa
PRO

March 31, 2024
Tweet

More Decks by Koheiawa

See All by Koheiawa
IAMAccessAnalyzer_Security-JAWS
koheiawa
PRO
1
990
SecurityHub_FinJAWS
koheiawa
PRO
8
680
DirectConnectSiteLink_みのるんさん勉強会
koheiawa
PRO
1
1.8k

Other Decks in Technology

See All in Technology
いつか使うかも貯金してたらめちゃめちゃ機能が増えてた話
riyaamemiya
0
480
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
310
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
350
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
1
110
AOAI をきっかけに​ 社内の Azure 管理を見直した話​
recruitengineers
PRO
1
420
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
3
550
ルーターでプレゼンする
puhitaku
1
3k
On Your Data を超えていく!
hirotomotaguchi
2
730
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.4k
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
920
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
4
600
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
160

Featured

See All Featured
Done Done
chrislema
178
15k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
188
16k
Docker and Python
trallard
35
2.7k
Faster Mobile Websites
deanohume
300
30k
Art, The Web, and Tiny UX
lynnandtonic
290
19k
Music & Morning Musume
bryan
41
5.6k
The Language of Interfaces
destraynor
151
23k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
20
6.4k
How to train your dragon (web standard)
notwaldorf
74
5.2k
The Invisible Customer
myddelton
114
12k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
20
1.4k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k

Transcript

  1. AWS Verified Access の使いどころを VPNとの比較から考えてみる

  2. 突っ込んだことはそんなに話しません! AWSに興味がない方にもふんわり理解いただける内容になっています (と思います)

  3. 経歴 2020年入社(4年目) - 金融機関向けセキュリティ設計(AWS,ゼロトラスト推進等) - 社内AWSコミュニティ運営 趣味 - お酒を飲むこと -

    最近はバチェラー 自己紹介 粟ケ窪 康平

  4. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  5. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  6. エンタープライズではオンプレミスのVPNを踏み台にしてAWSへアクセスしていることが多い これを前提として話します

  7. セキュリティ的に、VPNから脱却したい理由はどこにある?

  8. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー グローバルIP

    大事なシステム 大事なシステム

  9. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー 外部からVPNの脆弱

    性を狙った攻撃が可能 グローバルIP 大事なシステム 大事なシステム

  10. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ 大事なシステム 大事なシステム

    VPNサーバー VPNを踏み台にして他の 大事なシステムに攻撃できる グローバルIP

  11. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    大事なシステム 大事なシステム

  12. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    最初のアクセスは グローバルIPアドレス で行われる 大事なシステム 大事なシステム

  13. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    認証後はプライベート IPアドレスで通信を行う 10.1.1.1 10.1.0.0/16 大事なシステム 大事なシステム

  14. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 仮想的にデータセンター 内部にいるとみなせる 大事なシステム 大事なシステム

  15. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 大事なシステム 端末に侵入したマルウェアがネットワークを移動してしまう ラテラルムーブメント といいます 大事なシステム 大事なシステム

  16. VPNと比べて、Verified Access になるとどうなる?

  17. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー その1:接続先がAWSマネージドな

    Verified Access 環境になる Verified Access エンドポイント プライベートサブネット 大事なシステム 裏でAWSがいい感 じに繋いでくれる 接続先は Verified Access 大事なシステム

  18. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム 攻撃が難しい その1:接続先がAWSマネージドな Verified Access 環境になる WAFで保護 もできる 大事なシステム

  19. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム その2:状態で判断できるようになる スコアが下がっている端 末を接続させないといっ た制御が可能になる 大事なシステム

  20. 個人的に考える AWS Verified Access の使いどころ

  21. AWSを補助的に用いている企業のVPNを置き換えることは難しい ✓ 現状、オンプレミスのシステムに Verified Access 経由で接続する仕組みはない ✓ 少数のAWSシステムに接続するためだけにサードパーティーとの統合を実施するのは荷が重い ✓ Zscaler

    や Netskope 等に軍配が上がるのではないか これからAWSを使い始めたいスタートアップとかにはとてもよい AWSメインの企業には一定のニーズがある ✓ ゼロトラスト製品はコスト高なので、AWSに多数のシステムがある企業がAWSへの接続をゼロトラストにしたい場合にはよい選択だと思う ただし、Verified Access への移行の際には痛みを伴いそうなのでゼロトラストへの熱量次第 ✓ 重要システムへのアクセスには Verified Access という方針でシステムを構築していくのはよいと思う!!