Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS VerifiedAccess

Koheiawa
PRO
March 31, 2024
Technology
1
46

AWS VerifiedAccess

Koheiawa
PRO

March 31, 2024
Tweet

More Decks by Koheiawa

See All by Koheiawa
IAMAccessAnalyzer_Security-JAWS
koheiawa
PRO
1
1.3k
SecurityHub_FinJAWS
koheiawa
PRO
8
870
DirectConnectSiteLink_みのるんさん勉強会
koheiawa
PRO
1
2.6k

Other Decks in Technology

See All in Technology
ガバメントクラウド先行事業中間報告を読み解く
sugiim
1
1k
ガバメントクラウド単独利用方式におけるIaC活用
techniczna
3
260
使えそうで使われないCloudHSM
maikamibayashi
0
170
マネジメント視点でのre:Invent参加 ~もしCEOがre:Inventに行ったら~
kojiasai
0
440
フルカイテン株式会社 採用資料
fullkaiten
0
36k
Gradle: The Build System That Loves To Hate You
aurimas
2
140
Figma Dev Modeで進化するデザインとエンジニアリングの協働 / figma-with-engineering
cyberagentdevelopers
PRO
1
430
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
yuj1osm
1
540
サイロ化した金融システムを、packwerk を利用して無事故でリファクタリングした話
coincheck_recruit
3
3.7k
Java x Spring Boot Warm up
kazu_kichi_67
2
490
わたしとトラックポイント / TrackPoint tips
masahirokawahara
1
240
話題のGraphRAG、その可能性と課題を理解する
hide212131
4
1.4k

Featured

See All Featured
The World Runs on Bad Software
bkeepers
PRO
65
11k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
37
1.8k
Designing for Performance
lara
604
68k
Code Reviewing Like a Champion
maltzj
519
39k
Side Projects
sachag
452
42k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Building an army of robots
kneath
302
42k
Ruby is Unlike a Banana
tanoku
96
11k
How to Ace a Technical Interview
jacobian
275
23k
What's new in Ruby 2.0
geeforr
342
31k

Transcript

  1. AWS Verified Access の使いどころを VPNとの比較から考えてみる

  2. 突っ込んだことはそんなに話しません! AWSに興味がない方にもふんわり理解いただける内容になっています (と思います)

  3. 経歴 2020年入社(4年目) - 金融機関向けセキュリティ設計(AWS,ゼロトラスト推進等) - 社内AWSコミュニティ運営 趣味 - お酒を飲むこと -

    最近はバチェラー 自己紹介 粟ケ窪 康平

  4. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  5. 2022年のre:Inventで一番テンションが上がった AWS Verified Access

  6. エンタープライズではオンプレミスのVPNを踏み台にしてAWSへアクセスしていることが多い これを前提として話します

  7. セキュリティ的に、VPNから脱却したい理由はどこにある?

  8. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー グローバルIP

    大事なシステム 大事なシステム

  9. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ VPNサーバー 外部からVPNの脆弱

    性を狙った攻撃が可能 グローバルIP 大事なシステム 大事なシステム

  10. 理由その1:VPNは外部にグローバルIPアドレスを公開している AWS Cloud VPC VPC ・ ・ ・ 大事なシステム 大事なシステム

    VPNサーバー VPNを踏み台にして他の 大事なシステムに攻撃できる グローバルIP

  11. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    大事なシステム 大事なシステム

  12. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    最初のアクセスは グローバルIPアドレス で行われる 大事なシステム 大事なシステム

  13. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    認証後はプライベート IPアドレスで通信を行う 10.1.1.1 10.1.0.0/16 大事なシステム 大事なシステム

  14. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 仮想的にデータセンター 内部にいるとみなせる 大事なシステム 大事なシステム

  15. 理由その2:VPNを使用すると端末が仮想的にデータセンターに所属してしまう AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー

    10.1.1.1 10.1.0.0/16 大事なシステム 端末に侵入したマルウェアがネットワークを移動してしまう ラテラルムーブメント といいます 大事なシステム 大事なシステム

  16. VPNと比べて、Verified Access になるとどうなる?

  17. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー その1:接続先がAWSマネージドな

    Verified Access 環境になる Verified Access エンドポイント プライベートサブネット 大事なシステム 裏でAWSがいい感 じに繋いでくれる 接続先は Verified Access 大事なシステム

  18. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム 攻撃が難しい その1:接続先がAWSマネージドな Verified Access 環境になる WAFで保護 もできる 大事なシステム

  19. AWS Cloud VPC VPC データセンター(10.0.0.0/8) ・ ・ ・ VPNサーバー Verified

    Access エンドポイント Private subnet 大事なシステム その2:状態で判断できるようになる スコアが下がっている端 末を接続させないといっ た制御が可能になる 大事なシステム

  20. 個人的に考える AWS Verified Access の使いどころ

  21. AWSを補助的に用いている企業のVPNを置き換えることは難しい ✓ 現状、オンプレミスのシステムに Verified Access 経由で接続する仕組みはない ✓ 少数のAWSシステムに接続するためだけにサードパーティーとの統合を実施するのは荷が重い ✓ Zscaler

    や Netskope 等に軍配が上がるのではないか これからAWSを使い始めたいスタートアップとかにはとてもよい AWSメインの企業には一定のニーズがある ✓ ゼロトラスト製品はコスト高なので、AWSに多数のシステムがある企業がAWSへの接続をゼロトラストにしたい場合にはよい選択だと思う ただし、Verified Access への移行の際には痛みを伴いそうなのでゼロトラストへの熱量次第 ✓ 重要システムへのアクセスには Verified Access という方針でシステムを構築していくのはよいと思う!!