この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
บทนำ
สวัสดีค่ะ บทความนี้แปลมาจากบทความของคุณ Sato Tomoki จากแผนก CX (Customer Experience) ประจำสำนักงานใหญ่ค่ะ สามารถดูบทความต้นฉบับได้ที่หัวข้อบทความต้นฉบับ ด้านท้ายสุดของบล็อกนี้นะคะ
ในบล็อกนี้จะมาแนะนำเกี่ยวกับ AWS Verified Access(Preview) ที่เพิ่งประกาศเปิดตัวในงาน AWS re:Invent 2022 ที่ผ่านมา
AWS Verified Access เป็นบริการที่สร้างขึ้นตาม โมเดล Zero Trust บน AWS ที่ไม่ได้พึ่งพากลยุทธ์การรักษาความมั่นคงปลอดภัยแบบ perimeter defense เพียงอย่างเดียว ทำให้เราสามารถเชื่อมต่อกับแอปพลิเคชันภายในองค์กร หรือแอปพลิเคชันภายในที่สร้างขึ้นบน AWS ได้อย่างปลอดภัย
ปัจจุบัน AWS Verified Access ที่เปิดให้ทดลองใช้งานเมื่อวันที่ 29 พฤศจิกายน 2022 นั้น เป็นเพียง Public Preview ดังนั้นหลังจากนี้อาจมีการเปลี่ยนแปลงฟังก์ชั่นโดยไม่แจ้งให้ทราบล่วงหน้า
Official blog
ทุกคนสามารถเข้าไปอ่านรายละเอียดเพิ่มเติมของ Service นี้ได้ที่ Official blog บนเว็บไซต์ AWS ตามลิงก์ด้านล่างนี้เลยค่ะ
AWS Verified Access ทำอะไรได้บ้างในตอนนี้
เราสามารถเข้าถึงบริการบน VPC ของ AWS โดยใช้ Federation ผ่าน OIDC และ IAM Identity Center สำหรับ IDP ได้ และยังสามารถกำหนดได้ว่า จะเชื่อมต่อโดยใช้ข้อมูลความปลอดภัยหลายรายการหรือไม่ เช่น ข้อมูลการเชื่อมต่อต้นทาง (Connection source) หรือ อุปกรณ์ (Device)
โดยการตรวจสอบ Document ด้านล่างนี้ จะช่วยให้เราสามารถพิจารณาว่าจะตั้งค่าจำกัดการเชื่อมต่อหรือไม่
• ตำแหน่งของอุปกรณ์ (Device) อยู่ในประเทศที่ระบุหรือไม่
• ตั้งค่า MFA แล้วหรือไม่
• Email address ได้รับการยืนยันแล้วหรือไม่
• Email address ตรงกับ Regular Expression หรือ Pattern ที่เรากำหนดไว้หรือไม่ (อย่างเช่น การอนุญาตให้เข้าถึงแค่เฉพาะ Domain ที่กำหนดไว้)
• ความเสี่ยง JAMF อยู่ในระดับต่ำหรือไม่
• การเชื่อมต่ออยู่ภายใน IP range ที่ตั้งค่าไว้หรือไม่
ทั้งนี้ บน Document ระบุไว้ว่า เราจะสามารถเชื่อมต่อข้อมูลได้หรือไม่นั้น ขึ้นอยู่กับ context ของ JAMF หรือ CloudStrike ด้วย อย่างไรก็ตาม ดูเหมือนว่า context ของ SaaS อื่น ๆ ก็สามารถใช้ AWS Verified Access ได้ด้วยเช่นกันค่ะ
สำหรับการตั้งค่านโยบายโดยละเอียด สามารถอ่านเพิ่มเติมได้ที่ Document ด้านล่างนี้เลยนะคะ
ในตอนนี้ เมื่อเราตรวจสอบ Blog หรือ Console จะสามารถควบคุมการเชื่อมต่อกับบริการหรือข้อมูลต่างๆบน VPC ได้ผ่าน AWS Verified Access และในกรณีที่บริษัทหรือองค์กรเผยแพร่บริการภายในบน VPC ก็จะสามารถเชื่อมต่อกันได้โดยไม่ต้องกำหนดสิทธิ์ IP ตามแนวคิดแบบ Zero Trust
ภูมิภาคที่พร้อมใช้งาน
ปัจจุบัน AWS Verified Access เปิดให้ทดลองใช้แล้วใน Region ดังต่อไปนี้
• Northern Virginia
• Ohio
• Northern California
• Oregon
• Sydney
• Canada
• Ireland
• London
• Paris
• Sao Paulo
สรุป
ด้วย AWS Verified Access นี้ ทำให้ในที่สุด AWS ก็สามารถตั้งค่าความพร้อมใช้งานของการเชื่อมต่อโดยใช้ context ของอุปกรณ์และอื่น ๆ ได้แล้วค่ะ ยังไงทุกคนก็ลองไปทดลองใช้งานกันดูได้นะคะ
บทความต้นฉบับ
[速報]AWS上のアプリへの接続をゼロトラストで!?AWS Verified Accessがプレビューで公開されました!
15
