AWS Verified Access のアイコン

AWS Verified Access

VPN なしで企業アプリケーションへのゼロトラストアクセスを提供するサービス

約 1 分で読めます

何ができるか

AWS Verified Access は、VPN を使わずに企業の内部アプリケーションへのセキュアなアクセスを提供するゼロトラストネットワークアクセスサービスです。ユーザーの ID (IAM Identity Center、Okta など) とデバイスのセキュリティ状態 (CrowdStrike、Jamf など) に基づいてアクセスを許可・拒否します。

どのような場面で使うか

リモートワーカーの社内アプリケーションへのアクセス、VPN の廃止・削減、アプリケーション単位のアクセス制御、デバイスのセキュリティ状態に基づくアクセスポリシーの適用に利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

スマートロック付きのオフィスビルに例えられます。従来は入館証 (VPN) があれば全フロアに入れましたが、Verified Access はフロア (アプリケーション) ごとに本人確認 (ID 検証) と持ち物検査 (デバイス検証) を行い、許可されたフロアだけにアクセスを許可します。

Verified Access とは

この記事は約 2 分で読めます。 AWS Verified Access は、ゼロトラストの原則に基づくアプリケーションアクセスサービスです。従来の VPN はネットワーク全体へのアクセスを許可しますが、Verified Access はアプリケーション単位でアクセスを制御します。「誰が」「どのデバイスから」「どのアプリケーションに」アクセスするかをポリシーで定義し、条件を満たす場合のみアクセスを許可します。

信頼プロバイダーとポリシー

Verified Access は 2 種類の信頼プロバイダーを使用します。ID プロバイダー (IAM Identity Center、Okta、Ping Identity) でユーザーの身元を確認し、デバイス管理プロバイダー (CrowdStrike、Jamf) でデバイスのセキュリティ状態を確認します。Cedar ポリシー言語でアクセスルールを記述し、ユーザーの属性 (部署、役職) やデバイスの状態 (OS バージョン、パッチ適用状況) に基づく細かいアクセス制御を実現します。

はじめかた

Verified Access コンソールで信頼プロバイダーを設定し、Verified Access インスタンスを作成します。アクセスグループとエンドポイントを定義し、Cedar ポリシーでアクセスルールを記述します。ユーザーはブラウザからエンドポイントの URL にアクセスし、認証とデバイス検証を経てアプリケーションに接続します。

Azure・オンプレミスとの比較

Azure の対応サービス Microsoft Entra Private Access
オンプレミスでの対応手段 Zscaler Private Access、Cloudflare Access

AWS の優位点

  • VPN なしでアプリケーション単位のアクセス制御を実現し、ネットワーク全体への過剰なアクセスを排除
  • ID プロバイダーとデバイス管理プロバイダーの両方を組み合わせた多要素のアクセス判定
  • Cedar ポリシー言語で柔軟かつ細かいアクセスルールを記述可能

注意点

  • アプリケーションごとのエンドポイント時間課金とデータ処理量課金が発生する
  • 現時点では HTTP/HTTPS アプリケーションのみ対応。SSH や RDP などの非 HTTP プロトコルは対象外

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

Amazon API Gateway のアイコン Amazon API Gateway API の作成、公開、管理、監視を簡単に行えるフルマネージドサービス AWS App Mesh のアイコン AWS App Mesh マイクロサービス間の通信を制御・監視するサービスメッシュ AWS Cloud Map のアイコン AWS Cloud Map アプリケーションリソースのサービスディスカバリを提供するサービス Amazon CloudFront のアイコン Amazon CloudFront 世界中のエッジロケーションからコンテンツを高速配信する CDN サービス AWS Direct Connect のアイコン AWS Direct Connect オンプレミスと AWS を専用線で接続し、安定した低レイテンシのネットワークを提供するサービス Elastic IP Address のアイコン Elastic IP Address EC2 インスタンスに関連付ける静的パブリック IPv4 アドレス Elastic Load Balancing のアイコン Elastic Load Balancing 複数のサーバーにトラフィックを自動分散して可用性と耐障害性を高めるサービス AWS Global Accelerator のアイコン AWS Global Accelerator AWS のグローバルネットワークを活用してアプリケーションの可用性とパフォーマンスを向上させるサービス Amazon VPC Lattice のアイコン Amazon VPC Lattice サービス間通信の接続・セキュリティ・モニタリングを簡素化するアプリケーションネットワーキングサービス AWS Network Manager のアイコン AWS Network Manager グローバルネットワークを一元管理し、Transit Gateway や SD-WAN の接続状況を可視化するサービス AWS PrivateLink のアイコン AWS PrivateLink VPC からインターネットを経由せずに AWS サービスやサードパーティサービスにプライベート接続するサービス Amazon Route 53 のアイコン Amazon Route 53 高可用性のドメイン名システム (DNS) とドメイン登録を提供するサービス AWS Transit Gateway のアイコン AWS Transit Gateway 複数の VPC とオンプレミスネットワークをハブ & スポーク型で接続するネットワークハブ Amazon VPC のアイコン Amazon VPC AWS 上に論理的に分離された仮想ネットワークを構築するサービス AWS Wavelength のアイコン AWS Wavelength 5G ネットワークのエッジにコンピュートリソースを配置し、超低レイテンシのアプリケーションを実現するサービス