Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS VerifiedAccess

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Koheiawa Koheiawa
March 31, 2024
Technology
1
320

AWS VerifiedAccess

Avatar for Koheiawa

Koheiawa

March 31, 2024
Tweet

More Decks by Koheiawa

See All by Koheiawa
CCoEセミナー_第33回_AWS_reInvent_社内Recap_v0.1.pdf
Avatar for Koheiawa koheiawa
0
20
Organizations_JAWS_Yokohama
Avatar for Koheiawa koheiawa
0
43
IAMAccessAnalyzer_Security-JAWS
Avatar for Koheiawa koheiawa
1
1.7k
SecurityHub_FinJAWS
Avatar for Koheiawa koheiawa
8
1.2k
DirectConnectSiteLink_みのるんさん勉強会
Avatar for Koheiawa koheiawa
1
4.3k

Other Decks in Technology

See All in Technology
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
10k
Tebiki Engineering Team Deck
Avatar for Tebiki, Inc. tebiki
0
24k
システムのアラート調査をサポートするAI Agentの紹介/Introduction to an AI Agent for System Alert Investigation
Avatar for SadayoshiTada taddy_919
2
1.6k
オープンウェイトのLLMリランカーを契約書で評価する / searchtechjp
Avatar for Sansan R&D sansan_randd
3
630
小さく始めるBCP ― 多プロダクト環境で始める最初の一歩
Avatar for kekke-n kekke_n
1
310
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
73k
2人で作ったAIダッシュボードが、開発組織の次の一手を照らした話― Cursor × SpecKit × 可視化の実践 ― Qiita AI Summit
Avatar for NOBORU ITOU noalisaai
1
370
(金融庁共催)第4回金融データ活用チャレンジ勉強会資料
Avatar for tak takumimukaiyama
0
110
AIと新時代を切り拓く。これからのSREとメルカリIBISの挑戦
Avatar for ktykogm 0gm
0
660
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
13k
外部キー制約の知っておいて欲しいこと - RDBMSを正しく使うために必要なこと / FOREIGN KEY Night
Avatar for soudai sone soudai
PRO
10
4.1k
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
360

Featured

See All Featured
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.9k
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.2k
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
45
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
56
50k
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
78
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
0
1.1k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
240
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
0
1.8k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.5k

Transcript

  1. AWS Verified Access の使いどころを VPNとの比較から考えてみる

  2. 突っ込んだことはそんなに話しません! AWSに興味がない方にもふんわり理解いただける内容になっています (と思います)

  3. 経歴 2020年入社(4年目) - 金融機関向けセキュリティ設計(AWS,ゼロトラスト推進等) - 社内AWSコミュニティ運営 趣味 - お酒を飲むこと -

    最近はバチェラー 自己紹介 粟ケ窪 康平

  4. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  5. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  6. エンタープライズではオンプレミスのVPNを踏み台にしてAWSへアクセスしていることが多い これを前提として話します

  7. セキュリティ的に、VPNから脱却したい理由はどこにある?

  8. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー グローバルIP

    大事なシステム 大事なシステム

  9. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー 外部からVPNの脆弱

    性を狙った攻撃が可能 グローバルIP 大事なシステム 大事なシステム

  10. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ 大事なシステム 大事なシステム

    VPNサーバー VPNを踏み台にして他の 大事なシステムに攻撃できる グローバルIP

  11. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    大事なシステム 大事なシステム

  12. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    最初のアクセスは グローバルIPアドレス で行われる 大事なシステム 大事なシステム

  13. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    認証後はプライベート IPアドレスで通信を行う 10.1.1.1 10.1.0.0/16 大事なシステム 大事なシステム

  14. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 仮想的にデータセンター 内部にいるとみなせる 大事なシステム 大事なシステム

  15. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 大事なシステム 端末に侵入したマルウェアがネットワークを移動してしまう ラテラルムーブメント といいます 大事なシステム 大事なシステム

  16. VPNと比べて、Verified Access になるとどうなる?

  17. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー その1:接続先がAWSマネージドな

    Verified Access 環境になる Verified Access エンドポイント プライベートサブネット 大事なシステム 裏でAWSがいい感 じに繋いでくれる 接続先は Verified Access 大事なシステム

  18. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム 攻撃が難しい その1:接続先がAWSマネージドな Verified Access 環境になる WAFで保護 もできる 大事なシステム

  19. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム その2:状態で判断できるようになる スコアが下がっている端 末を接続させないといっ た制御が可能になる 大事なシステム

  20. 個人的に考える AWS Verified Access の使いどころ

  21. AWSを補助的に用いている企業のVPNを置き換えることは難しい ✓ 現状、オンプレミスのシステムに Verified Access 経由で接続する仕組みはない ✓ 少数のAWSシステムに接続するためだけにサードパーティーとの統合を実施するのは荷が重い ✓ Zscaler

    や Netskope 等に軍配が上がるのではないか これからAWSを使い始めたいスタートアップとかにはとてもよい AWSメインの企業には一定のニーズがある ✓ ゼロトラスト製品はコスト高なので、AWSに多数のシステムがある企業がAWSへの接続をゼロトラストにしたい場合にはよい選択だと思う ただし、Verified Access への移行の際には痛みを伴いそうなのでゼロトラストへの熱量次第 ✓ 重要システムへのアクセスには Verified Access という方針でシステムを構築していくのはよいと思う!!