セキュリティ

AWS Verified Access で実現するゼロトラストアクセス - VPN 不要のアプリケーション接続

VPN を排除し、ユーザー ID とデバイスのセキュリティ状態を毎回検証するゼロトラストアクセスを実現する。Cedar ポリシーによるきめ細かい制御を紹介します。

約 1 分で読めます

ゼロトラストと Verified Access

ゼロトラストは「ネットワークの内側にいるから信頼する」という従来の境界型セキュリティモデルを否定し、すべてのアクセスを検証する考え方です。VPN は社内ネットワークへのトンネルを提供しますが、VPN に接続すれば全リソースにアクセスできてしまう問題があります。Verified Access はアプリケーション単位でアクセスを制御し、ユーザーの ID とデバイスのセキュリティ状態を毎回検証します。VPN クライアントのインストール、VPN 接続の管理、VPN サーバーのスケーリングが不要になり、ユーザーはブラウザからアプリケーションに直接アクセスします。

信頼プロバイダーとポリシー設計

信頼プロバイダーはユーザー ID とデバイスの信頼性を検証するコンポーネントです。ユーザー信頼プロバイダーとして IAM Identity Center、Okta、Ping Identity などの IdP を設定し、OIDC トークンでユーザーを認証します。デバイス信頼プロバイダーとして CrowdStrike や Jamf を設定し、デバイスの OS バージョン、パッチ適用状態、セキュリティソフトの稼働状態を検証します。アクセスポリシーは Cedar 言語で記述し、ユーザーグループとデバイス状態の組み合わせでアクセスを許可・拒否します。例えば「エンジニアグループに所属し、かつ CrowdStrike がアクティブなデバイスからのアクセスのみ許可」といったポリシーを定義できます。

エンドポイントの設定と運用

Verified Access エンドポイントは ALB またはネットワークインターフェースを指定して作成します。既存の ALB の前段に Verified Access を配置することで、アプリケーション側の変更なしにゼロトラストアクセスを適用できます。エンドポイントにはカスタムドメインと TLS 証明書を設定し、ユーザーは https://app.example.com のような URL でアクセスします。アクセスログには、ユーザー ID 、デバイス情報、アクセス元 IP 、ポリシーの評価結果が記録され、 CloudWatch Logs や S3 に送信できます。セキュリティチームはログを分析して不審なアクセスパターンを検出し、ポリシーの改善に活かします。 VPN レスの実践的な知識を深めるには、専門書籍 (Amazon)が役立ちます。

Verified Access の料金

Verified Access の料金はアプリケーション (エンドポイント) の時間課金とデータ処理量で構成されます。エンドポイントは 1 つあたり約 0.27 ドル/時 (月額約 194 ドル) で、データ処理は 1 GB あたり約 0.02 ドルです。VPN ソリューション (Client VPN は接続 1 つあたり約 0.05 ドル/時 + サブネット関連付け約 0.10 ドル/時) と比較すると、少数のアプリケーションに対するアクセス制御では Verified Access の方がシンプルかつ低コストです。ただし、アプリケーション数が多い環境ではエンドポイントの固定費が積み上がるため、段階的に導入して費用対効果を検証します。

まとめ

Verified Access は VPN を排除し、ゼロトラスト原則に基づくアプリケーションアクセスを提供するサービスです。ユーザー ID とデバイスのセキュリティ状態を毎回検証し、Cedar ポリシーできめ細かいアクセス制御を実現します。リモートワーク環境でのセキュアなアプリケーションアクセスに最適です。

関連するサービス

AWS Verified AccessVPN なしで企業アプリケーションへのゼロトラストアクセスを提供するサービスAWS IAMAWS リソースへのアクセスを安全に管理するための認証・認可サービスAmazon CloudWatchAWS リソースとアプリケーションの監視・ログ管理・アラームを提供するサービス

関連する記事

AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリングステートフル/ステートレスルールとドメインフィルタリングで VPC トラフィックを制御する。Suricata 互換ルールとマネージドルールの活用を紹介します。Amazon Verified Permissions で実装するきめ細かい認可 - Cedar ポリシーによるアクセス制御Cedar ポリシー言語で認可ロジックをアプリケーションコードから外部化し、Cognito 統合でトークンベースの認可判定を実現する手法を紹介します。ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現するAWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現するAWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。AWS Verified AccessVPN を使わずにデバイスのセキュリティ状態と ID プロバイダーの認証情報に基づいて企業アプリケーションへのゼロトラストアクセスを実現するサービスAWS のゼロトラストネットワーキング - Verified Access と PrivateLink で実現する境界なきセキュリティAWS Verified Access、PrivateLink、VPC Lattice によるゼロトラストネットワーキングの実装を解説し、Azure Private Link との設計差異を比較します。ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。