Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Invent2024で広がった AWS Verified Accessの可能性を探る

mai miya
February 06, 2025

re:Invent2024で広がった AWS Verified Accessの可能性を探る

2025/02/06
F x F AWS Service Partner2社でre:Invent2024 DeepDive
https://forgevision.connpass.com/event/340312/

mai miya

February 06, 2025
Tweet

More Decks by mai miya

Other Decks in Technology

Transcript

  1. ©Fusic Co., Ltd. 0 re:Invent2024で広がった AWS Verified Accessの可能性を探る 2025.02.06 Mai

    Miyazaki @maimyyym F x F AWS Service Partner2社でre:Invent2024 DeepDive
  2. ©Fusic Co., Ltd. 1 Introduction 宮 崎 真 衣 M

    A I M I YA Z A K I HN: mai (@maimyyym ) 株式会社Fusic 事業本部 技術創造部門 / エンジニア ◉ I am - IDDM(1型糖尿病) 3歳発症 - 元百貨店スタッフ(Beauty Counselor) - 2023年10月 Fusic入社 - re:Invent 2024 ABWGrant ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security, Identity & Compliance ◉ Comment - 初re:Invent、初海外でした! 画像 Click!
  3. ©Fusic Co., Ltd. 2 CONTENTS 目次 1. AWS Verified Accessとは

    2. AWS Verified Accessの今までとこれから 3. やりたいことをやってみた 4. 今回のアップデートでうれしいこと
  4. ©Fusic Co., Ltd. 4 AWS Verified Accessとは? AWS Verified Accessとは

    AWS内のアプリケーションへの安全なアクセスをVPN-lessで提供するサービス ゼロトラストセキュリティモデルに基づいている Verified Accessを構築すると、 明示的にポリシーを設定しないと 全てのアクセスが拒否される。 ネットワーク境界を問わず「何も信頼しない」を前提とした考え方 ネットワークの場所だけではなく、 IDやデバイスなどの信頼を証明して アクセス権を付与。
  5. ©Fusic Co., Ltd. 6 AWS Verified Accessの今まで AWS Verified Accessの今までとこれから

    HTTP(S)のみ対応していた = AWS上で動くアプリケーションやAPI
  6. ©Fusic Co., Ltd. 7 AWS Verified Accessのアップデート AWS Verified Accessの今までとこれから

    non-HTTP(S)プロトコル(TCP通信)に対応!(プレビュー) つまり、22(SSH)や3306(MySQL)等 さまざまなプロトコルによるアクセスをゼロトラストベースで制御できる AWS上のアプリケーション(Webシステム) だけでなくリソース(EC2やRDSなど)への より厳密なアクセス制御が可能
  7. ©Fusic Co., Ltd. 8 non-HTTP(S)接続に必要なもの AWS Verified Accessの今までとこれから 専用の接続クライアントConnectivity Clientが必要

    クライアントが接続されている限り、アクセス許可される https://docs.aws.amazon.com/ja_jp/verified-access/latest/ug/connectivity-client.html VerifiedAccess側でプロバイダー等の設定し、 クライアント設定ファイルをエクスポート後 この状態で、 SSH接続や DB接続が可能!
  8. ©Fusic Co., Ltd. 17 プライベートなEC2へのSSH選択肢 今回のアップデートでうれしいこと 比較してみる どれを選んでもアクセスの制限(=パブリックにしないこと)は可能 Instance Connect

    Session Manager Verified Access 実現できる要件 EC2のセキュリティグループでの アクセス制御(22番は空ける必要あり) ログや可用性等の要件がある IAMでのアクセス制御 ID認証した上で、 ポリシー定義により 細かなアクセス制御が可能 手軽さ エンドポイントと セキュリティグループの設定 エンドポイント(複数)とIAMロール クライアント証明書 SSHキーの管理が必要 料金(転送量は除 く) 無料 VPCエンドポイントの料金 USD 0.014 / 時間 エンドポイントの料金 USD 0.26/時間
  9. ©Fusic Co., Ltd. 18 プライベートなEC2へのSSH選択肢 今回のアップデートでうれしいこと 考察してみる 実装・管理・料金のコストと実現したいセキュリティ要件とのバランス Instance Connect

    Session Manager Verified Access 実現できる要件 EC2のセキュリティグループでの アクセス制御(22番は空ける必要あり) ログや可用性等の要件がある IAMでのアクセス制御 ID認証した上で、 ポリシー定義により 細かなアクセス制御が可能 手軽さ エンドポイントと セキュリティグループの設定 エンドポイント(複数)とIAMロール クライアント証明書 SSHキーの管理が必要 料金(転送量は除 く) 無料 VPCエンドポイントの料金 USD 0.014 / 時間 エンドポイントの料金 USD 0.26/時間 シンプルな管理用サーバー 少人数での開発利用向き 一定の組織要件を 踏まえた小中規模での 管理利用 大規模な開発組織に おける仕組み化された アクセス制御を要する
  10. ©Fusic Co., Ltd. 19 もっと望みたくもなる 今回のアップデートでうれしいこと o プライベートAPIGatewayへの接続も対応してほしい ▪ どうしても踏み台が必要

    ▪ HTTPSではあるので、前からサポートしているかと思いきや… • 証明書の設定が必要 = プライベートAPIGatewayはできない o アクティブ・非アクティブな状態を切り替えたい ▪ アクティブなエンドポイントの時間に課金される ▪ 使わない時は非アクティブにすることができれば 料金をおさえられるのに… • 実体を考えると、難しそう
  11. ©Fusic Co., Ltd. 21 Thank You We are Hiring! https://recruit.fusic.co.jp/

    ご清聴いただきありがとうございました