Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ALBがついに対応したmTLS認証でトラストストア、パススルーを検証してみた

Avatar for tessy tessy
December 20, 2023
Technology
1
3.6k

 ALBがついに対応したmTLS認証でトラストストア、パススルーを検証してみた

ALBでmTLS認証を検証

Avatar for tessy

tessy

December 20, 2023
Tweet

More Decks by tessy

See All by tessy
Cloudflareで取得したドメインをRoute53+ACMで管理する
Avatar for tessy tessy
1
280
EC2 AutoScalingでスケーリングポリシー設定を失敗してうまく行かなった件とその対策
Avatar for tessy tessy
0
850
TerraformでEC2 Auto Scaling構築してみた
Avatar for tessy tessy
4
1.1k

Other Decks in Technology

See All in Technology
非エンジニアのあなたもできる&もうやってる!コンテキストエンジニアリング
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
3
880
GopherCon Tour 概略
Avatar for Takuto Nagami logica0419
2
160
C# 14 / .NET 10 の新機能 (RC 1 時点)
Avatar for neno nenonaninu
1
1.4k
OCI Network Firewall 概要
Avatar for oracle4engineer oracle4engineer
PRO
1
7.7k
SoccerNet GSRの紹介と技術応用:選手視点映像を提供するサッカー作戦盤ツール
Avatar for MIXI ENGINEERS mixi_engineers
PRO
1
160
Trust as Infrastructure
Avatar for Bryan Cantrill bcantrill
0
290
後進育成のしくじり〜任せるスキルとリーダーシップの両立〜
Avatar for mtskhs matsu0228
3
1.2k
10年の共創が示す、これからの開発者と企業の関係 ~ Crossroad
Avatar for SORACOM soracom
PRO
1
130
Azure SynapseからAzure Databricksへ 移行してわかった新時代のコスト問題!?
Avatar for Databricks Japan databricksjapan
0
120
それでも私はContextに値を詰めたい | Go Conference 2025 / go conference 2025 fill context
Avatar for Yoichiro Shimizu budougumi0617
4
1.1k
バイブコーディングと継続的デプロイメント
Avatar for nwiizo nwiizo
2
380
about #74462 go/token#FileSet
Avatar for tom twinkle tomtwinkle
1
270

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.1k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.6k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
132
19k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
890
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.1k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
33
8.8k
A better future with KSS
Avatar for Kyle Neath kneath
239
17k

Transcript

  1. ALBがついに対応したmTLS認証で トラストストア、パススルー を検証してみた ⽇本IBM ⼿嶋 達也 2023/12/20

  2. ⾃⼰紹介 @tterima 取得したAWS資格 2013年4⽉〜2022年4⽉ アプリ開発チームに所属 2022年5⽉〜現在 インフラ(AWS)チームに所属 ようやくAWS経験が2年を超えました。 全冠まで残り1つ

  3. re:Invent 2023(の直前)でALBのmTLS認証が発表されました!! https://aws.amazon.com/jp/about-aws/whats-new/2023/11/application-load-balancer-authenticate-x509-certificate-based-identities/

  4. mTLS認証(相互TLS認証)があると 何が嬉しいのか

  5. mTLS認証(相互TLS認証)があると何が嬉しいのか 従来設定 サーバ証明書により、サーバの真正性のみ確認 ALB 特定のデバイスのみアクセスさせたいサイトを想定します。 IDを発⾏していますが、悪意がある攻撃者にID情報が漏洩しました。 ログイン 成功

  6. mTLS認証設定 mTLS認証により、相互の真正性を確認 ALB ログイン 失敗 mTLS認証(相互TLS認証)があると何が嬉しいのか 従来設定 サーバ証明書により、サーバの真正性のみ確認 ALB 特定のデバイスのみアクセスさせたいサイトを想定します。

    IDを発⾏していますが、悪意がある攻撃者にID情報が漏洩しました。 ログイン 成功

  7. これまでのmTLS対応 これまでmTLS認証を⾏うためには以下の通り、NLBでHTTPS要求をパススルー してApache等でクライアント認証を⾏う必要がありました。 このため、ALBのパスベースルーティングなどが困難でした。 これからは、ALBが利⽤できますね。 さらに、ALBでクライアント認証検証が可能となるため、EC2を建てる必要もなく なります。(トラストストア検証の場合) NLB Instance

  8. 構築してみよう

  9. mTLS認証⽅式について ALBのmTLS認証には、以下の2通りの⽅式があります。 • トラストストア認証 トラストストアとしてサーバ証明書を登録し、ALBがクライアント証明書を検証する⽅式 ALB ALB Instance • パススルー認証

    バックエンドにHTTPヘッダーとしてクライアント証明書パススルーする⽅式

  10. トラストストア検証⽅式

  11. 構築 - クライアント証明書の作成 opensslコマンドでクライアント証明書を作成します。 今回はいわゆるオレオレ証明書を作成します。(本番で使⽤できません) トラストストアに登録 クライアント証明書 として利⽤

  12. 構築 ‒ ルート証明書をトラストストアとして登録 S3に先ほど作成したrootCA_cert.pemをアップロードして、 トラストストアとして登録します。 作成したトラストストアをALBと紐づけることでmTLS認証が可能です。

  13. 構築 ‒ ルート証明書をALBのトラストストアとして登録 HTTPSリスナーの設定にmTLSの設定があるため、先ほどのトラストスト アを設定します。 ALBアクセス時には固 定レスポンスを返すよ うに設定しています。

  14. アクセス確認 クライアント証明書を指定してアクセス クライアント証明書を指定せずアクセス 無事にクライアント証明書指定時だけアクセスさせることができました。 これで悪意があるユーザからの攻撃を防ぐことが可能になります。

  15. パススルー⽅式

  16. 構築 ‒ パススルー設定 パススルーの場合はトラストストアのような設定は不要です。 パススルーを設定するだけでバックエンドにクライアント証明書が連携されます。 今回はLambdaを作成してヘッダーの様⼦を眺めます。 参考:https://dev.classmethod.jp/articles/aws-alb-mtls-pass-through/ ALB Lambda function

  17. アクセス確認 ‒ クライアント証明書指定 クライアント証明書を 指定 HTTPヘッダーとしてクライアント証明書が バックエンドに送信

  18. アクセス確認 ‒ クライアント証明書未指定 クライアント証明書が格納された HTTPヘッダーが存在しない。 クライアント証明書無しでもバックエンドに送信されるため、注意が必要です。 通常はバックエンドにApacheなどを配置して正当性を検証します。

  19. まとめ • mTLS認証をALBだけで簡単に構築できた。 • トラストストア検証はお⼿軽で、バックエンドのクライアント認証処理を オフロード可能なため、今後主流になる予感 • パススルー⽅式もサポートされているため、NLBをALBに置き換え可能