Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Verified Accessから始めるゼロトラストセキュリティ
Search
Kento Suzuki
July 09, 2023
Technology
1
500
Verified Accessから始めるゼロトラストセキュリティ
2023/7/9 (日)
JAWS ミート 2023
https://jaws-ug-tokaido.connpass.com/event/276942/
Kento Suzuki
July 09, 2023
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
220
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
270
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
110
探せぇ!お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
510
SIEM って何?〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
470
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
230
新卒入社が考える『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
510
Cloudflare Pages使ってみた- ついでにAWS Amplifyもワカル -
kentosuzuki
3
750
べ、べつにアンタのことなんて好きなんかじゃないんだからね!ねぇS3、アンタ聞いてんの!?
kentosuzuki
0
570
Other Decks in Technology
See All in Technology
Documentação de Produtos: Artefatos essenciais na prática
rigolon
1
180
認知症フレンドリーテックとスタックチャン
naokiuc
0
300
【基本】データベース設計
oracle4engineer
PRO
2
220
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
1.1k
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
1
690
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
8
630
コードや知識を組み込む / Incorporate Code and knowledge
ks91
PRO
0
150
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
150
AWSやJAWS-UGとの出会いを振り返る
yoyoyopg
1
110
Cracking the KubeCon CfP
inductor
2
270
ルーターでプレゼンする
puhitaku
1
3.3k
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
4
910
Featured
See All Featured
Practical Orchestrator
shlominoach
183
9.7k
Bash Introduction
62gerente
605
210k
The Invisible Customer
myddelton
114
12k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Designing on Purpose - Digital PM Summit 2013
jponch
111
6.5k
How to train your dragon (web standard)
notwaldorf
75
5.2k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
358
22k
Code Reviewing Like a Champion
maltzj
515
39k
The Pragmatic Product Professional
lauravandoore
26
5.8k
Six Lessons from altMBA
skipperchong
22
3k
GraphQLの誤解/rethinking-graphql
sonatard
56
9.3k
Transcript
07/08 JAWS ミート 2023 [ ライトニングトーク ] 鈴木健斗 AWS Verified
Access
鈴⽊健⽃ @k_suzuki_pnx 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS
Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023 ) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) ⾃⼰紹介
ライトニングトークまでの経緯 ・AWS Verified Access (AVA) がプレビューとして発表 → 初めて存在を知る re:Invent 2022
⼀般提供開始 (GA) re:Inforce 2023 JAWS ミート ・⼀般提供開始 (GA) → AVA の存在を思い出す ・re:Inforce のセッションを試聴した際に AVA が出てくる → ちょっと気になってくる ・公式ワークショップの存在を知る →ゼロトラストの勉強ついでにやってみる ・いい機会なので LT のネタにする 2022年11⽉ 2023年4⽉ 2023年6⽉ 2023年7⽉
要は AWS Verified Access を触るついでに ゼロトラストを勉強して ライトニングトークもしよう︕︕ そんな話
AWS Verified Access (AVA) と ゼロトラスト
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能
・東京リージョンでは利⽤不可 (2023/7/8 時点)
AWS Verified Access (AVA) とは ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・昨年の
re:Invent 2022 にてプレビューとして発表 ・2023/4/28 に⼀般提供開始 (GA) ・東京リージョンでは利⽤不可 (2023/7/3 時点) AVA !? 何それ︖ 美味しいの︖︖ ゼロトラスト is 何 ︖
ゼロトラストとは 背景 ・リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が曖昧になっている ・情報漏洩などネットワーク境界の内部にも脅威 ・DXの推進といった企業内のネットワークを超えて価値を⽣み出す必要性 内部ネットワークは安全︖
AWS 流ゼロトラストの考え⽅ ネットワーク Amazon VPC AWS PrivateLink IAM Amazon S3
(バケットポリシー) AWS KMS (キーポリシー) アイデンティティ ネットワークベースの制御とアイデンティティベースの制御を組み合わせる
AWS でよりセキュアな接続を実現する 社内ネットワークに VPN で接続してしまえば AWS 上の様々なリソースにアクセスできてしまう 必要最低限の⼈だけが 必要なリソースにだけ接続できるようにしたい
そこで選ばれたのが AWS Verified Access ・ゼロトラストの基本原則に基づいて構築されたサービス ・ VPN なしで企業アプリケーションに安全にアクセス ・ユーザーとデバイス単位でアクセス制御をすることが可能 ・東京リージョンでは利⽤不可
(2023/7/8 時点) AWS Verified Access AWS Verified Access
AWS Verified Access ができること ・IAM Identity Center などのアイデンティティプロバイダー(IdP) で 認証を受けたユーザのみログイン可能といった制御が可能
・IdP は OpenID という規格に準拠していれば IAM Identity Center でなくても良い(Okta, Auth0 など) ・ AWS ポリシー⾔語である Cedar を使ってアクセスポリシーを記述 例) ・特定の IP アドレスを持つ場合は許可 ・IdP に対して特定の E メールアドレスで認証された場合は許可 ・MFA 認証していない場合は禁⽌
ワークショップをやってみる
ワークショップの流れ 1. Route53 の設定 2. AWS IAM Identity Center の設定
3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdP として IAM Identity Center か Okta を選択 AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US ① ② ③ ④
ワークショップをやってみて ・所要時間 3 時間程度 ・かかった費⽤ $ 0.36 ・会社のポリシー等で AWS IAM
Identity Center の利⽤が封印されている場合はできない (⾃アカウントでやった) 感想 ・⼿順の最後の⽅に CROWDSTRIKE によるデバイス制御的なのがあったけどよく分からん ・ AWS ポリシー⾔語である Cedar について、 正直「うわ、独⾃の⾔語…ダルいわ…」とか思ってたけど結構わかりやすかった ・「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう…
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT
まとめ ワークショップをやる ワークショップで やったことを テーマに LT 技術要素やその背景に 対する理解が深まる AWS Verified
Access の ワークショップをやった ゼロトラストの理解が深まった AWS Verified Access に関連する ゼロトラストをテーマに LT ワークショップはやって終わりじゃダメ やった後に何かアウトプットを︕
参考 AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ
LT 後追記 P15にて、 「趣味でやってみた」以外で現状どういった企業に刺さるのかとか、提案の仕⽅が思いつかない → ⽇本の企業だと「VPN で良くね︖」みたいな感じになりそう… といった感想を述べたところ、 5⼈くらいの⽅から 「VPN
の廃⽌は結構需要あるよ」 「⽇本リージョンにも来たら使う/提案するわ」 といったコメントがありました。 こういった、「⾃分にない視点から意⾒をもらえて、知⾒がさらに広がる」といった意味でも、 ワークショップをやった後にアプトプットしてみると良いなと思いました。おしまい。