こんにちは!アイレットの徳江です。
11/29に発表された AWS Verified Access のセッションを受けてきましたのでレポートします!

AWS Verified Access とは?

AWS Zero Trust の指針に基づいて作られたセキュアな接続サービスです。
これまでは企業内のアプリケーションへのセキュアな接続には主に VPN 接続が使われていましたが、なんと AWS Verified Access では VPN を使用せずにこれが実現できるようです。

セッション概要

<セッション名>
Introducing AWS Verified Access: Secure connections to your applications

<レベル>
200 – Intermediate

<セッションタイプ>
Breakout Session

<スピーカー>
Jess Szmajda, GM, AWS VPN, Amazon Web Services
Shovan Das, Principal Product Manager, AWS

<セッション説明>

AWS Verified Access helps you implement secure access to corporate applications without requiring a VPN. Built on Zero Trust principles, AWS Verified Access enables you to set fine-grained access policies for your applications. This ensures that application access is granted only when users meet the security requirements you specify (e.g., user identity, device security status, real-time data such as geolocation). This session provides a high-level overview of AWS Verified Access, its features, and how you can use it to build a Zero Trust architecture.

AWS Verified Access は、VPN を必要としない企業アプリケーションへの安全なアクセスの実装を支援します。Zero Trust の原則に基づいて構築された AWS Verified Access では、アプリケーションに対してきめ細かなアクセスポリシーを設定することが可能です。これにより、ユーザーが指定したセキュリティ要件(ユーザー ID、デバイスのセキュリティ状態、ジオロケーションなどのリアルタイムデータなど)を満たした場合にのみ、アプリケーションへのアクセスが許可されるようになります。本セッションでは、AWS Verified Access の概要とその特徴、Zero Trust アーキテクチャを構築するための利用方法についてご紹介します。

セッション内容

大きく分けて2つのテーマについて話がありました。

  • AWS Verified Access の仕組みの解説
  • 実際の設定デモ

今回はセッションの中で自分が Verified Access 良さそう!と思った部分を中心に紹介します。

安全性が高くなる

VPN は企業内ネットワークに入る→企業内アプリケーションへアクセスという流れになっています。
VPN はネットワークに入る際に認証が発生します。

一方 AWS Verified Access は直接アプリケーションに対して認証を行ないます。
認証には IAM Identity Center や OIDC、SAML が使用できるようです。

VPN の場合は企業内ネットワークに入れば全てのアプリケーションへアクセスできてしまいますが、Verified Access はアプリケーション単位となるので、リスクが低減します。

構築・管理が楽になりそう

以前 Client VPN を構築した時にはアクセスに必要なリソースを色々と作る必要がありました。

  • VPN 用の VPC 作成
  • VPN エンドポイントの作成、ルートテーブル設定

AWS Verified Access はアプリケーションがある VPC でエンドポイントを作成して、直接接続が可能とのことです。これは楽そう!

また、Client VPN ではクライアント用に証明書を発行する必要があり、定期的に更新が必要でした。
AWS Verified Access では、認証やユーザ管理は AWS IAM Identity Center や ID プロバイダー(IdP)を使うので、証明書は不要です。
また、グループを作成し、グループ毎にアクセスポリシーを設定をするので細かい制御ができそうです。

もちろんアクセスログもある

アクセスログの保存先も複数あるのが嬉しいですね。
アクセスできなかった時の原因も分かるようで、エラー発生時の切り分けをするときにありがたいです。

感想

残念なことにまだ東京リージョンでは使えないようですが、
VPN 不要!のインパクトが大きく、話を聞いていて使ってみたいと思いました。
デモを見る限り設定も複雑ではなさそうでした。

re:Invent で新サービス発表→すぐにセッションで詳しい話が聞けるというスピード感はとてもワクワクしますね。

 

アイレットなら、AWS で稼働するサーバーを対象とした監視・運用・保守における煩わしい作業をすべて一括して対応し、経験豊富なプロフェッショナルが最適なシステム環境を実現いたします。AWS プレミアティアサービスパートナーであるアイレットに、ぜひお任せください。

AWS 運用・保守サービスページ

その他のサービスについてのお問合せ、お見積り依頼は下記フォームよりお気軽にご相談ください。
https://www.iret.co.jp/contact/service/form/