Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Verified Accessから始めるゼロトラストセキュリティ
Search
Kento Suzuki
July 09, 2023
Technology
1
650
Verified Accessから始めるゼロトラストセキュリティ
2023/7/9 (日)
JAWS ミート 2023
https://jaws-ug-tokaido.connpass.com/event/276942/
Kento Suzuki
July 09, 2023
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
230
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
300
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
600
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
370
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
690
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
860
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
340
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
680
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
kentosuzuki
3
1.1k
Other Decks in Technology
See All in Technology
正式リリースされた Semantic Kernel の Agent Framework 全部紹介!
okazuki
1
1k
Azure & DevSecOps
kkamegawa
2
180
エンジニアリングで組織のアウトカムを最速で最大化する!
ham0215
1
300
GraphQLを活用したリアーキテクチャに対応するSLI/Oの再設計
coconala_engineer
0
210
Next.jsと状態管理のプラクティス
uhyo
2
700
社内 Web システムのフロントエンド技術刷新: React Router v7 vs. TanStack Router
musasabibyun
0
140
AOAI で AI アプリを開発する時にまず考えたいこと
mappie_kochi
1
640
Part1 GitHubってなんだろう?その2
tomokusaba
2
710
C++26アップデート 2025-03
faithandbrave
0
1.2k
『ささAI』ネタづくりをささえるAI📝 (にぼしいわし担当:GIFTech2025)
masapyon1212
0
110
社会人力と研究力ー博士号をキャリアの武器にするー
kentaro
2
110
Why Platform Engineering? - マルチプロダクト・少人数 SRE の壁を越える挑戦 -
nulabinc
PRO
4
370
Featured
See All Featured
Docker and Python
trallard
44
3.4k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Adopting Sorbet at Scale
ufuk
76
9.4k
Documentation Writing (for coders)
carmenintech
71
4.8k
We Have a Design System, Now What?
morganepeng
52
7.6k
Done Done
chrislema
184
16k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
41
2.3k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
YesSQL, Process and Tooling at Scale
rocio
172
14k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
How STYLIGHT went responsive
nonsquared
100
5.5k
How to train your dragon (web standard)
notwaldorf
91
6k
Transcript
07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified
Access
鈴⽊健⽃ @k_suzuki_pnx 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS
Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) ⾃⼰紹介
ライトニングトークまでの経緯 ・AWS Verified Access (AVA) がプレビューとして発表 → 初めて存在を知る re:Invent 2022
⼀般提供開始 (GA) re:Inforce 2023 JAWS ミート ・⼀般提供開始 (GA) → AVA の存在を思い出す ・re:Inforce のセッションを試聴した際に AVA が出てくる → ちょっと気になってくる ・公式ワークショップの存在を知る →ゼロトラストの勉強ついでにやってみる ・いい機会なので LT のネタにする 2022年11⽉ 2023年4⽉ 2023年6⽉ 2023年7⽉
要は AWS Verified Access を触るついでに ゼロトラストを勉強して ライトニングトークもしよう︕︕ そんな話
AWS Verified Access (AVA) と ゼロトラスト
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能
・東京リージョンでは利⽤不可 (2023/7/8 時点)
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・昨年の
re:Invent 2022 にてプレビューとして発表 ・2023/4/28 に⼀般提供開始 (GA) ・東京リージョンでは利⽤不可 (2023/7/3 時点) AVA !? 何それ︖ 美味しいの︖︖ ゼロトラスト is 何 ︖
ゼロトラストとは 背景 ・リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が曖昧になっている ・情報漏洩などネットワーク境界の内部にも脅威 ・DXの推進といった企業内のネットワークを超えて価値を⽣み出す必要性 内部ネットワークは安全︖
AWS 流ゼロトラストの考え⽅ ネットワーク Amazon VPC AWS PrivateLink IAM Amazon S3
(バケットポリシー) AWS KMS (キーポリシー) アイデンティティ ネットワークベースの制御とアイデンティティベースの制御を組み合わせる
AWS でよりセキュアな接続を実現する 社内ネットワークに VPN で接続してしまえば AWS 上の様々なリソースにアクセスできてしまう 必要最低限の⼈だけが 必要なリソースにだけ接続できるようにしたい
そこで選ばれたのが AWS Verified Access ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能 ・東京リージョンでは利⽤不可
(2023/7/8 時点) AWS Verified Access AWS Verified Access
AWS Verified Access ができること ・IAM Identity Center などのアイデンティティプロバイダー(IdP) で 認証を受けたユーザのみログイン可能といった制御が可能
・IdP は OpenID という規格に準拠していれば IAM Identity Center でなくても良い(Okta, Auth0 など) ・ AWS ポリシー⾔語である Cedar を使ってアクセスポリシーを記述 例) ・特定の IP アドレスを持つ場合は許可 ・IdP に対して特定の E メールアドレスで認証された場合は許可 ・MFA 認証していない場合は禁⽌
ワークショップをやってみる
ワークショップの流れ 1. Route53 の設定 2. AWS IAM Identity Center の設定
3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdP として IAM Identity Center か Okta を選択 AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US ① ② ③ ④
ワークショップをやってみて ・所要時間 3 時間程度 ・かかった費⽤ $ 0.36 ・会社のポリシー等で AWS IAM
Identity Center の利⽤が封印されている場合はできない (⾃アカウントでやった) 感想 ・⼿順の最後の⽅に CROWDSTRIKE によるデバイス制御的なのがあったけどよく分からん ・ AWS ポリシー⾔語である Cedar について、 正直「うわ、独⾃の⾔語…ダルいわ…」とか思ってたけど結構わかりやすかった ・「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT ワークショップはやって終わりじゃダメ やった後に何かアウトプットを︕
参考 AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ
LT 後追記 P15にて、 「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう… といった感想を述べたところ、 5⼈くらいの⽅から 「VPN
の廃⽌は結構需要あるよ」 「⽇本リージョンにも来たら使う/提案するわ」 といったコメントがありました。 こういった、「⾃分にない視点から意⾒をもらえて、知⾒がさらに広がる」といった意味でも、 ワークショップをやった後にアプトプットしてみると良いなと思いました。おしまい。
kentosuzuki
okazuki
kkamegawa
ham0215
coconala_engineer
uhyo
musasabibyun
mappie_kochi
tomokusaba
faithandbrave
masapyon1212
kentaro
nulabinc
trallard
keavy
ufuk
carmenintech
morganepeng
chrislema
bcantrill
scottboms
rocio
erikaheidi
nonsquared
notwaldorf
![07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified](https://files.speakerdeck.com/presentations/db1f7f9fc28b4a648be3b745501f0220/slide_0.jpg){kind=link}
