ALBがついに対応したmTLS認証でトラストストア、パススルーを検証してみた

ALBがついに対応したmTLS認証でトラストストア、パススルーを検証してみた⽇本IBM ⼿嶋達也 2023/12/20

⾃⼰紹介 @tterima 取得したAWS資格 2013年4⽉〜2022年4⽉アプリ開発チームに所属 2022年5⽉〜現在インフラ（AWS）チームに所属ようやくAWS経験が2年を超えました。全冠まで残り１つ

re:Invent 2023（の直前）でALBのmTLS認証が発表されました！！ https://aws.amazon.com/jp/about-aws/whats-new/2023/11/application-load-balancer-authenticate-x509-certificate-based-identities/

mTLS認証（相互TLS認証）があると何が嬉しいのか

mTLS認証（相互TLS認証）があると何が嬉しいのか従来設定サーバ証明書により、サーバの真正性のみ確認 ALB 特定のデバイスのみアクセスさせたいサイトを想定します。 IDを発⾏していますが、悪意がある攻撃者にID情報が漏洩しました。ログイン成功

mTLS認証設定 mTLS認証により、相互の真正性を確認 ALB ログイン失敗 mTLS認証（相互TLS認証）があると何が嬉しいのか従来設定サーバ証明書により、サーバの真正性のみ確認 ALB 特定のデバイスのみアクセスさせたいサイトを想定します。
IDを発⾏していますが、悪意がある攻撃者にID情報が漏洩しました。ログイン成功

これまでのmTLS対応これまでmTLS認証を⾏うためには以下の通り、NLBでHTTPS要求をパススルーしてApache等でクライアント認証を⾏う必要がありました。このため、ALBのパスベースルーティングなどが困難でした。これからは、ALBが利⽤できますね。さらに、ALBでクライアント認証検証が可能となるため、EC2を建てる必要もなくなります。（トラストストア検証の場合） NLB Instance

構築してみよう

mTLS認証⽅式について ALBのmTLS認証には、以下の２通りの⽅式があります。 • トラストストア認証トラストストアとしてサーバ証明書を登録し、ALBがクライアント証明書を検証する⽅式 ALB ALB Instance • パススルー認証
バックエンドにHTTPヘッダーとしてクライアント証明書パススルーする⽅式

トラストストア検証⽅式

構築 - クライアント証明書の作成 opensslコマンドでクライアント証明書を作成します。今回はいわゆるオレオレ証明書を作成します。（本番で使⽤できません）トラストストアに登録クライアント証明書として利⽤

構築 ‒ ルート証明書をトラストストアとして登録 S3に先ほど作成したrootCA_cert.pemをアップロードして、トラストストアとして登録します。作成したトラストストアをALBと紐づけることでmTLS認証が可能です。

構築 ‒ ルート証明書をALBのトラストストアとして登録 HTTPSリスナーの設定にmTLSの設定があるため、先ほどのトラストストアを設定します。 ALBアクセス時には固定レスポンスを返すように設定しています。

アクセス確認クライアント証明書を指定してアクセスクライアント証明書を指定せずアクセス無事にクライアント証明書指定時だけアクセスさせることができました。これで悪意があるユーザからの攻撃を防ぐことが可能になります。

パススルー⽅式

構築 ‒ パススルー設定パススルーの場合はトラストストアのような設定は不要です。パススルーを設定するだけでバックエンドにクライアント証明書が連携されます。今回はLambdaを作成してヘッダーの様⼦を眺めます。参考：https://dev.classmethod.jp/articles/aws-alb-mtls-pass-through/ ALB Lambda function

アクセス確認 ‒ クライアント証明書指定クライアント証明書を指定 HTTPヘッダーとしてクライアント証明書がバックエンドに送信

アクセス確認 ‒ クライアント証明書未指定クライアント証明書が格納された HTTPヘッダーが存在しない。クライアント証明書無しでもバックエンドに送信されるため、注意が必要です。通常はバックエンドにApacheなどを配置して正当性を検証します。

まとめ • mTLS認証をALBだけで簡単に構築できた。 • トラストストア検証はお⼿軽で、バックエンドのクライアント認証処理をオフロード可能なため、今後主流になる予感 • パススルー⽅式もサポートされているため、NLBをALBに置き換え可能

ALBがついに対応したmTLS認証でトラストストア、パススルーを検証してみた

ALBがついに対応したmTLS認証でトラストストア、パススルーを検証してみた

tessy

More Decks by tessy

Other Decks in Technology

Featured

Transcript

ALBがついに対応したmTLS認証でトラストストア、パススルーを検証してみた⽇本IBM ⼿嶋達也 2023/12/20

⾃⼰紹介 @tterima 取得したAWS資格 2013年4⽉〜2022年4⽉アプリ開発チームに所属 2022年5⽉〜現在インフラ（AWS）チームに所属ようやくAWS経験が2年を超えました。全冠まで残り１つ

re:Invent 2023（の直前）でALBのmTLS認証が発表されました！！ https://aws.amazon.com/jp/about-aws/whats-new/2023/11/application-load-balancer-authenticate-x509-certificate-based-identities/

mTLS認証（相互TLS認証）があると何が嬉しいのか

構築してみよう

mTLS認証⽅式について ALBのmTLS認証には、以下の２通りの⽅式があります。 • トラストストア認証トラストストアとしてサーバ証明書を登録し、ALBがクライアント証明書を検証する⽅式 ALB ALB Instance • パススルー認証

トラストストア検証⽅式

構築 - クライアント証明書の作成 opensslコマンドでクライアント証明書を作成します。今回はいわゆるオレオレ証明書を作成します。（本番で使⽤できません）トラストストアに登録クライアント証明書として利⽤

構築 ‒ ルート証明書をトラストストアとして登録 S3に先ほど作成したrootCA_cert.pemをアップロードして、トラストストアとして登録します。作成したトラストストアをALBと紐づけることでmTLS認証が可能です。

構築 ‒ ルート証明書をALBのトラストストアとして登録 HTTPSリスナーの設定にmTLSの設定があるため、先ほどのトラストストアを設定します。 ALBアクセス時には固定レスポンスを返すように設定しています。

パススルー⽅式

アクセス確認 ‒ クライアント証明書指定クライアント証明書を指定 HTTPヘッダーとしてクライアント証明書がバックエンドに送信