Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS VerifiedAccess

Koheiawa
PRO
March 31, 2024
Technology
1
48

AWS VerifiedAccess

Koheiawa
PRO

March 31, 2024
Tweet

More Decks by Koheiawa

See All by Koheiawa
IAMAccessAnalyzer_Security-JAWS
koheiawa
PRO
1
1.3k
SecurityHub_FinJAWS
koheiawa
PRO
8
890
DirectConnectSiteLink_みのるんさん勉強会
koheiawa
PRO
1
2.6k

Other Decks in Technology

See All in Technology
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
7
700
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
120
『Firebase Dynamic Links終了に備える』 FlutterアプリでのAdjust導入とDeeplink最適化
techiro
0
180
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
950
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.7k
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
4
250
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
SSMRunbook作成の勘所_20241120
koichiotomo
3
170
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
3
350
Flutterによる 効率的なAndroid・iOS・Webアプリケーション開発の事例
recruitengineers
PRO
0
120
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
200
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
150

Featured

See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
GraphQLとの向き合い方2022年版
quramy
43
13k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Six Lessons from altMBA
skipperchong
27
3.5k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Scaling GitHub
holman
458
140k
Code Reviewing Like a Champion
maltzj
520
39k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Happy Clients
brianwarren
98
6.7k

Transcript

  1. AWS Verified Access の使いどころを VPNとの比較から考えてみる

  2. 突っ込んだことはそんなに話しません! AWSに興味がない方にもふんわり理解いただける内容になっています (と思います)

  3. 経歴 2020年入社(4年目) - 金融機関向けセキュリティ設計(AWS,ゼロトラスト推進等) - 社内AWSコミュニティ運営 趣味 - お酒を飲むこと -

    最近はバチェラー 自己紹介 粟ケ窪 康平

  4. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  5. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  6. エンタープライズではオンプレミスのVPNを踏み台にしてAWSへアクセスしていることが多い これを前提として話します

  7. セキュリティ的に、VPNから脱却したい理由はどこにある?

  8. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー グローバルIP

    大事なシステム 大事なシステム

  9. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー 外部からVPNの脆弱

    性を狙った攻撃が可能 グローバルIP 大事なシステム 大事なシステム

  10. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ 大事なシステム 大事なシステム

    VPNサーバー VPNを踏み台にして他の 大事なシステムに攻撃できる グローバルIP

  11. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    大事なシステム 大事なシステム

  12. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    最初のアクセスは グローバルIPアドレス で行われる 大事なシステム 大事なシステム

  13. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    認証後はプライベート IPアドレスで通信を行う 10.1.1.1 10.1.0.0/16 大事なシステム 大事なシステム

  14. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 仮想的にデータセンター 内部にいるとみなせる 大事なシステム 大事なシステム

  15. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 大事なシステム 端末に侵入したマルウェアがネットワークを移動してしまう ラテラルムーブメント といいます 大事なシステム 大事なシステム

  16. VPNと比べて、Verified Access になるとどうなる?

  17. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー その1:接続先がAWSマネージドな

    Verified Access 環境になる Verified Access エンドポイント プライベートサブネット 大事なシステム 裏でAWSがいい感 じに繋いでくれる 接続先は Verified Access 大事なシステム

  18. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム 攻撃が難しい その1:接続先がAWSマネージドな Verified Access 環境になる WAFで保護 もできる 大事なシステム

  19. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム その2:状態で判断できるようになる スコアが下がっている端 末を接続させないといっ た制御が可能になる 大事なシステム

  20. 個人的に考える AWS Verified Access の使いどころ

  21. AWSを補助的に用いている企業のVPNを置き換えることは難しい ✓ 現状、オンプレミスのシステムに Verified Access 経由で接続する仕組みはない ✓ 少数のAWSシステムに接続するためだけにサードパーティーとの統合を実施するのは荷が重い ✓ Zscaler

    や Netskope 等に軍配が上がるのではないか これからAWSを使い始めたいスタートアップとかにはとてもよい AWSメインの企業には一定のニーズがある ✓ ゼロトラスト製品はコスト高なので、AWSに多数のシステムがある企業がAWSへの接続をゼロトラストにしたい場合にはよい選択だと思う ただし、Verified Access への移行の際には痛みを伴いそうなのでゼロトラストへの熱量次第 ✓ 重要システムへのアクセスには Verified Access という方針でシステムを構築していくのはよいと思う!!