[速報]AWS上のアプリへの接続をゼロトラストで!?AWS Verified Accessがプレビューで公開されました!

AWS上のアプリへの接続をゼロトラストの概念で実現できる!?AWS Verified Accessがプレビューで公開されたので記事にしました。
2022.11.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

CX事業本部の佐藤智樹です。

今回はre:Invent期間中に発表されたAWS Verified Access(Preview)についてご紹介します。こちらのサービスはAWS上でのゼロトラストの原則をもとに構成されており、境界型防御モデルのみに依存せずに、AWS上で構築した企業/特定の組織内向けのアプリへ安全な接続を提供するサービスとなっています。

AWS Verified Accessは現在(2022/11/29)パブリックプレビューで提供されています。予告なく機能が変更される可能性があるのでご注意ください。

公式ブログ

サービス発表にあたって以下の公式ブログが公開されています。

AWS Verified Accessで現状できること

OIDCを介したフェデレーションやIAM Identity CenterをIDPとして利用して、AWSのVPC上のサービスにアクセスできるようになります。また接続元やデバイスなど複数のセキュリティ情報を元に接続するかを判定させることができます。ドキュメントを確認したところ以下の設定で接続を制限するか決定することができます。

  • デバイスのロケーションは指定した国か
  • MFAが設定されているか
  • メールアドレスが認証済みか
  • メールアドレスが特定の正規表現と一致するか(特定ドメインのみ許可など)
  • JAMFでのリスクがLOWとなっているか
  • 指定したIPレンジ内からの接続か

ドキュメント上にはJAMFやCloudStrikeのコンテキストによる接続可否も記載されていました。別のSaaSのコンテキストもAWS Verified Accessで利用できるようです。

細かいポリシーの設定などは以下のドキュメント配下で公開されております。

ブログやコンソールを確認すると今のところはVPC上のサービスに対する接続をAWS Verified Accessで統制できるようになっています。VPC上で会社や特定の組織でインターナルなサービスを公開している場合に、IP制限を利用せずゼロトラストの概念で接続することが期待できます。

使用可能なリージョン

現在は以下のリージョンで公開されています。残念ながら日本では未公開のため今後に期待です!

  • バージニア北部
  • オハイオ
  • 北カリフォルニア
  • オレゴン
  • シドニー
  • カナダ
  • アイルランド
  • ロンドン
  • パリ
  • サンパウロ

所感

AWS上でついにデバイスのコンテキストなどを使った接続可否設定が実施できると見て興奮しました!まだプレビュー版なのでこれからですが触ってみようと思います!