ゼロトラストセキュリティモデルに移行することが、従来のVPNの使用をやめる理由になるとは限りませんが、ゼロトラストのアプローチはVPNに頼る従来のセキュリティモデルとは異なる重要な特徴を持っています。
ゼロトラスト・アーキテクチャに関してはなかなかボリュームのある内容なのでここでは触れませんが、VerifiedAccessはエンドユーザーのデバイスのコンテキストとIDに基づいてアクセスポリシーを適用し、特定のAWSリソースへのアクセスを許可または拒否するのでリソースやアプリケーションレベルでのアクセス制御に焦点を当てているサービスという認識です。
VerifiedAccessとMicrosoft EntraIDによるユーザ認証の運用について
- VerifiedAccessは、ユーザーが安全かつ簡単にアクセスするために設計されています。
- EntraIDは、高度な認証機能でセキュリティの強化を実現するID管理ツールです。
この組み合わせによって、ユーザーはVerifiedAccessで接続する際に、EntraIDの高い認証基準を満たす必要があります。特に、二段階認証などのEntraIDの機能は、不正アクセスのリスクを軽減しています。
Verified Accessの特徴
Verified Accessは、専用のFQDNを使用して接続します。
認証プロセスにはEntraIDを採用し、安全かつ迅速な接続を実現します。
従来のVPN接続時の待機時間や、VPNクライアントのアップデート、設定変更といった追加の手間が不要です。これにより、ユーザーはよりスムーズにセキュアな接続を確立できます。
スケールアウト・インの同期について
eventbridgeとlambdaを使用して、VerifiedAccess用AutoscallingGroupをアプリケーション用のAutoscallingGroupに同期させることで、インスタンスの増減にも対応させています。
既存プロダクトへの適用について
-
独自のFQDNを採用
Verified Accessは専用のFQDNを使用しています。これにより、既存のアプリケーションの構成や運用に変更を加えることなく、新たな接続方式を導入できます。 -
高度なアクセス制限
Verified AccessはEntraIDと連携し、接続制限が設定された特定のグループに属するユーザーのみがアプリケーションへアクセス可能となります。これにより、不正アクセスのリスクを一層低減できるとともに、指定されたユーザー群のアクセス管理が簡易化されます。
設定
EntraID
- applicationを新規登録します
- metadateを取得します
% curl https://login.microsoftonline.com/xxxxxxxxxxxx/v2.0/.well-known/openid-configuration | jq
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 1753 100 1753 0 0 35332 0 --:--:-- --:--:-- --:--:-- 39840
{
"token_endpoint": "https://login.microsoftonline.com/xxxxxxxxxxxx/oauth2/v2.0/token",
"token_endpoint_auth_methods_supported": [
"client_secret_post",
"private_key_jwt",
"client_secret_basic"
],
"jwks_uri": "https://login.microsoftonline.com/xxxxxxxxxxxx/discovery/v2.0/keys",
"response_modes_supported": [
"query",
"fragment",
"form_post"
],
"subject_types_supported": [
"pairwise"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"response_types_supported": [
"code",
"id_token",
"code id_token",
"id_token token"
],
"scopes_supported": [
"openid",
"profile",
"email",
"offline_access"
],
"issuer": "https://login.microsoftonline.com/xxxxxxxxxxxx/v2.0",
"request_uri_parameter_supported": false,
"userinfo_endpoint": "https://graph.microsoft.com/oidc/userinfo",
"authorization_endpoint": "https://login.microsoftonline.com/xxxxxxxxxxxx/oauth2/v2.0/authorize",
"device_authorization_endpoint": "https://login.microsoftonline.com/xxxxxxxxxxxx/oauth2/v2.0/devicecode",
"http_logout_supported": true,
"frontchannel_logout_supported": true,
"end_session_endpoint": "https://login.microsoftonline.com/xxxxxxxxxxxx/oauth2/v2.0/logout",
"claims_supported": [
"sub",
"iss",
"cloud_instance_name",
"cloud_instance_host_name",
"cloud_graph_host_name",
"msgraph_host",
"aud",
"exp",
"iat",
"auth_time",
"acr",
"nonce",
"preferred_username",
"name",
"tid",
"ver",
"at_hash",
"c_hash",
"email"
],
"kerberos_endpoint": "https://login.microsoftonline.com/xxxxxxxxxxxx/kerberos",
"tenant_region_scope": "AS",
"cloud_instance_name": "microsoftonline.com",
"cloud_graph_host_name": "graph.windows.net",
"msgraph_host": "graph.microsoft.com",
"rbac_url": "https://pas.windows.net"
}
Terraform設定ファイル
verified-access
├── acm_certificate
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── cloudwatch_autoscaling_events
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── endpoint
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── group
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── instance
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── lambda_autoscaling_events
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── lambda_iam
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── load_balancer
│ ├── main.tf
│ ├── output.tf
│ └── variables.tf
├── route53_records
│ ├── main.tf
│ └── variables.tf
└── trust_provider
├── main.tf
├── output.tf
└── variables.tf
10 directories, 30 files
重要な設定箇所
provider作成
- 取得したmetadataを設定します
aws_verifiedaccess_trust_provider.tf
resource "aws_verifiedaccess_trust_provider" "entraid" {
description = "entraid-verified-access-trust-provider"
policy_reference_name = "entraid"
tags = {
"Name" = "entraid-verified-access-trust-provider"
}
trust_provider_type = "user"
user_trust_provider_type = "oidc"
oidc_options {
authorization_endpoint = "metadataで取得したauthorization_endpoint"
client_id = "xxxxxxxxxxx"
client_secret = data.aws_secretsmanager_secret_version.verifiedaccess_integration.secret_string
issuer = "metadataで取得したissuer"
scope = "openid"
token_endpoint = "metadataで取得したtoken_endpoint"
user_info_endpoint = "metadataで取得したuser_info_endpoint"
}
}
スケールアウト・インに対応する
- TARGET_GROUP_ARNに作成したtargetgroupを指定します
aws_lambda_function.tf
resource "aws_lambda_function" "autoscaling_events" {
function_name = "sync_asg_with_elb_targetgroup"
handler = "sync_asg_with_elb_targetgroup.handler"
runtime = "python3.8"
role = aws_iam_role.lambda_exec.arn
source_code_hash = filebase64sha256("sync_asg_with_elb_targetgroup.zip")
filename = "sync_asg_with_elb_targetgroup.zip"
environment {
variables = {
TARGET_GROUP_ARN = aws_lb_target_group.verified_access_endpoint.arn
}
}
}
- EC2インスタンスの起動と終了に応じて、ターゲットグループ(TARGET_GROUP_ARN)にインスタンスを登録または登録解除する役割を果たします。
sync_asg_with_elb_targetgroup.py
import boto3
import os
import logging
import json
logger = logging.getLogger()
logger.setLevel(logging.INFO)
elbv2 = boto3.client('elbv2')
TARGET_GROUP_ARN = os.environ['TARGET_GROUP_ARN']
def handler(event, context):
# Log the received event
logger.info("Received event: " + json.dumps(event, indent=2))
try:
# Check if 'detail' key exists
detail = event.get('detail')
if not detail:
raise ValueError("No 'detail' key found in event")
# Check if 'EC2InstanceId' is included
instance_id = detail.get('EC2InstanceId')
if not instance_id:
raise ValueError("No 'EC2InstanceId' key found in event detail")
# Actions depending on instance launch or termination
lifecycle_transition = detail.get('LifecycleTransition')
# Corrected indentation for this block
if event['detail-type'] == 'EC2 Instance Launch Successful':
# Register the instance
response = elbv2.register_targets(
TargetGroupArn=TARGET_GROUP_ARN,
Targets=[{'Id': instance_id}]
)
logger.info(f"Registered instance {instance_id} with target group: {response}")
elif lifecycle_transition == 'autoscaling:EC2_INSTANCE_TERMINATE':
# Deregister the instance
# elbv2.deregister_targets(...) # Similar to register_targets call
logger.info(f"Instance {instance_id} will be deregistered")
except Exception as e:
logger.error(f"Error processing event: {str(e)}")
raise
構成が多いのでモジュール化しておくと便利です。
root_module
├── acm_certificate.tf
├── cloudwatch_event_rule.tf
├── data.tf
├── iam_role.tf
├── lambda.tf
├── lb.tf
├── locals.tf
├── main.tf
├── route53_record.tf
├── security_group.tf
├── sync_asg_with_elb_targetgroup.zip
└── verifiedaccess.tf
0 directories, 12 files
確認
- 作成したFQDNにWebブラウザで接続するとEntraIDと連携できることを確認できます
