[レポート] Identity-native infrastructure access on AWS with Teleport #PRT041 #reinvent

Youtube で公開されている re:Invent 2022 のセッションのレポートです。

ゼロトラストを実現するプロダクトである Teleport の紹介セッションを視聴しました。

セッション概要

タイトル

Identity-native infrastructure access on AWS with Teleport (PRT041)

概要

As infrastructure and applications have become distributed, the need to establish identity for access is more important than ever. In this talk, learn how to use true identity with Teleport to control access to your AWS infrastructure. Teleport is an identity-native infrastructure access platform for securing your organization’s access to the AWS Management Console, Amazon EC2, Amazon EKS, Amazon RDS, and more. By replacing insecure secrets with true identity, Teleport delivers zero trust for every engineer and service connected to your global infrastructure to help you protect against phishing. Learn how Teleport can replace VPNs, shared credentials, secrets vaults, and legacy PAM solutions to improve security and engineering productivity. This presentation is brought to you.

登壇者

Kenneth DuMez
Developer Relations Engineer
Teleport

セッションレポート

アジェンダは次の通りです。

• Anatomy of a Breach (侵害の解剖学)
• Identity-Native Infrastructure Access
• How Teleport Works
• 事例紹介

始めに侵害がどのように発生するか、それに対して Identity-Native Infrastructure がどのように機能するかの話から始まり、Teleport の製品紹介がありました。

Teleport: Identity-Native Infrastructure Access. Faster. More Secure.

アーキテクチャを見ると AWS の VPC 上に Proxy としてデプロイして利用しており、気になる製品でした。

無料の Community 版もあるようです。

Get Started with Teleport | Teleport

セッションのサマリ

• Anatomy of a Breach (侵害の解剖学)
  • 侵害には 2 つの共有点
    • 最初にヒューマンエラー
    • 侵害を最大化する取り組み
  • 最終的にインフラ全体に及ぶ
• どのようにして Identity-Native Infrastructure Access 状態にするか（テレポートするか）
  • 最初のステップはあらゆるものを ID 化すること
    • 人間だけではなくマシンも対象
  • 次のステップはデバイスセキュリティの確保
    • パスワードでは十分ではない
  • 3 つ目のステップはは Proof of Presence (存在証明)
    • 補足）Proof of Presence とは、特定のユーザーが特定のコンピュータを操作していること
  • 4 つ目のステップは相互認証
    • 相互に TLS 接続
• Teleport のアーキテクチャ説明
  • Proxy は最初のタッチポイント
  • サブコンポーネントして監査ログと認証局
  • ユーザーは SSO で認証

• Teleport の利点
  • Single Source of Truth
  • Zero Trust Infrastructure Access
    • 有効期限が短い証明書でアクセス
  • Pender Phinshing and Pivot Attacks Useless (フィッシングやピボットアタックを無効化)
  • Reduce Audit & Compliance Buerdens (監査とコンプライアンスの負担を軽減)
• 2 つの提供方式
  • Community Edition
    • オープンソース
  • Enterprise Edition
    • スケーリング、SSO 統合、きめ細かなアクセスなど
• 対応しているアクセス先のサービスやプロトコル（SSH や RDP など）の紹介
• 事例紹介
  • DOORDASH 社の事例
  • 急成長する事業に対するスケール、SSO と Just In Time アクセスによるセキュリティ向上、セッション記録によるセキュリティ向上が利点だった
• Teleport はエンジニアの作業の邪魔にならない

さいごに

Identity 関連のセッションをまとめて見ていた際に、これまで聞いたことがない製品だったのでセッションを視聴してみました。レポートを読んで気になる方は是非セッション動画も見ていただけばと思います。