0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

AWS Verified Accessを理解する 〜VPNレスで実現するZTNA〜

0
Posted at

はじめに

AWSにゼロトラストネットワークアクセス (ZTNA)を実現するサービスがあることをご存じでしょうか?
AWS Verified Accessは、VPNを使わずに企業内アプリケーションへのセキュアなアクセスを実現するゼロトラストネットワークアクセス (ZTNA)です。
本記事では、AWS Verified Accessの概要や構成、アクセスの流れ、各コンポーネントの役割について整理しながら解説します。

この記事で分かること :cat:

  • VPNとゼロトラストネットワークアクセス (ZTNA)
  • AWS Verified Accessの概要
  • Endpoint Typeの種類
  • Trust Providerの種類
  • アクセスの流れ
  • 料金
  • 関連機能

VPNとゼロトラストネットワークアクセス (ZTNA)

まず本題に入る前に、VPNとゼロトラストネットワークアクセス (ZTNA) の違いについて整理しておきましょう。

VPN:ユーザーを認証し、通信を暗号化したうえで社内ネットワークへ安全に接続する仕組みです。一度接続すると、社内ネットワークは信頼できる環境であることを前提として、社内のシステムやサーバーへアクセスできます。

ゼロトラストネットワークアクセス (ZTNA):通信を暗号化するとともに、ネットワークの内外を問わず、すべてのアクセスを信頼しないことを前提とする考え方です。ユーザーIDだけでなく、デバイスの状態や行動属性なども考慮した動的なポリシーに基づいて、リソースへのアクセス要求ごとに認証・認可を行います。

項目 VPN ZTNA (例:Verified Access)
基本的な考え方 社内ネットワークへ安全に接続する アプリケーションごと (NIST SP 800-207でいうリソースごと) にアクセスを制御する
信頼の考え方 一度接続すると、社内ネットワーク内の通信を基本的に信頼 すべてのアクセスを信頼せず、アクセスのたびに評価する
アクセス制御 ネットワーク単位 アプリケーション単位 (NIST SP 800-207でいうリソース単位)
認証・認可 ユーザーIDとクレデンシャル(MFAを含む)を用いた認証 ユーザーIDに加え、デバイス状態や行動属性などを考慮した動的ポリシーによる認証・認可

AWS Verified Accessの概要

AWS Verified Accessは、ユーザーのIDやデバイスの状態などの情報をもとにアクセス可否を判断し、許可されたユーザーのみが企業内アプリケーションへアクセスできるよう制御します。
従来のVPNのようにネットワーク全体への接続を許可するのではなく、アプリケーション単位でアクセスを制御できることが特徴です。

主要コンポーネント
AWS Verified Access主要コンポーネント.png

Verified Access Instance
Verified Accessの中核となるリソースです。ユーザーが利用するデバイスからのアクセス要求を評価し、Access Policyに基づいてアクセス可否を判定します。
Access Policy
「誰が」「どのデバイスから」「どの条件で」アクセスできるかを定義するルールです。 Verified Accessでは2段階のポリシーでアクセスを制御します。

Verified Access Group Policy

  • グループに1つ設定
  • グループ配下のすべてのエンドポイントに適用される

Verified Access Endpoint Policy

  • エンドポイントごとに1つ設定(任意)
  • そのエンドポイント固有の条件を追加できる

アクセス時は、グループポリシーとエンドポイントポリシー(設定されている場合)の両方が評価され、許可された場合のみアクセスできます。

Verified Access Endpoint
アプリケーションやサービスへの接続先を定義するリソースです。また、Endpointの実体はElastic Network Interface(ENI)であり、作成時に指定したサブネットに配置されます。
Verified Access Group
Verified Access Endpointをグループ化するための管理単位です。グループごとにAccess Policyを設定でき、同じアクセス制御ルールを複数のEndpointへ適用できます。用途やシステムごとにグループを分けることで、アクセス制御を効率的に管理できます。

(例えば、本記事の上記構成では、Webアプリケーション向けの「Web」グループと、管理者向けSSHアクセス用の「Admin」グループを作成し、それぞれ異なるAccess Policyを適用しています。)

Trust Provider
Verified Accessがアクセス可否を判定するために必要な情報を提供するサービスです。ユーザーの認証情報やデバイスのセキュリティ状態などをVerified Accessへ提供します。
Trust Data
Trust Providerから取得する情報です。例えば、ユーザーの認証情報や所属グループ、デバイスの管理状態やコンプライアンス情報などが含まれます。Verified Accessは、これらの情報とAccess Policyを基にアクセス可否を判定します。

Endpoint Typeの種類

Verified Access Endpointでは、公開したいアプリケーションやサービスに応じてEndpoint Typeを選択します。
Endpoint Typeによって接続先が異なり、Webアプリケーションだけでなく、SSHやRDP、Amazon RDS、オンプレミス環境のTCPサービス(Site-to-Site VPNやDirect Connectなどで接続されている環境)など、さまざまなリソースを保護できます。
Verified Access Endpoint Type (接続先のタイプ) は4種類あります。

Endpoint Type 接続先 接続イメージ 主な用途
Load balancer Application Load Balancer (ALB) または Network Load Balancer (NLB) Verified Access Endpoint (ENI) → ALB/NLB → アプリケーション Webアプリケーションへのアクセス
Network interface Elastic Network Interface (ENI) Verified Access Endpoint (ENI) → EC2 (ENI) SSH、RDP、独自TCPアプリケーションへのアクセス
RDS Amazon RDS Verified Access Endpoint (ENI) → RDS Amazon RDSへのアクセス
Network CIDR 指定したCIDR内のIPアドレス Verified Access Endpoint (ENI) → CIDR内のIPアドレス VPC内やオンプレミス環境のTCPサービスへのアクセス

Trust Providerの種類

Trust Providerには、ユーザー認証を行うUser-identity Trust Providerと、デバイスのセキュリティ状態を提供するDevice-based Trust Providerの2種類があります。

AWSでは、User-identity Trust ProviderとしてAWS IAM Identity Centerを利用できるほか、Microsoft Entra IDやOktaなどの外部IDプロバイダーとも連携できます。
また、Device-based Trust ProviderとしてMicrosoft IntuneやJamfなどと連携し、OSのバージョン、暗号化の有無、アンチウイルスソフトの稼働状況、デバイスのコンプライアンス状態などの情報を取得できます。

User-identity Trust Providerは、Verified Access Instanceごとに1つ設定する必要があります。
一方、Device-based Trust Providerの設定は任意で、必要に応じて複数設定できます。

項目 User-identity Trust Provider Device-based Trust Provider
役割 ユーザー認証を行う デバイスのセキュリティ状態を提供する
主な情報 ユーザーの認証情報、所属グループなど OSのバージョン、パッチ適用状況、ディスク暗号化の有無、アンチウイルスソフトの稼働状況、デバイスのコンプライアンス状態など
設定 必須(1つのみ設定可能) 任意(複数設定可能)

アクセスの流れ

AWS Verified Accessアクセスの流れ.png
先ほど登場した図に流れを赤字で記載しました。

  1. ユーザーがデバイスからアプリケーションへアクセスします。
  2. アクセス要求はVerified Access Instanceに送信されます。
  3. Verified Access Instanceは、Trust Providerからユーザー情報やデバイス情報(Trust Data)を取得します。
  4. Access Policyに基づき、アクセス要求を評価します。
  5. アクセスが許可された場合、Verified Access Endpointを介してALB、EC2、RDSなどの接続先へ通信します。
    アクセス条件を満たさない場合は、アプリケーションへのアクセスを拒否します。

料金

AWS Verified Accessは従量課金制で、課金体系は、HTTP(S)アプリケーションと非HTTP(S)アプリケーションで異なります。

HTTP(S)アプリケーションでは、以下の2つに対して料金が発生します。

課金項目 内容 料金(2026年7月時点)
アプリケーション時間 アクティブなHTTP(S) Verified Access Endpointに関連付けられたアプリケーションごとに時間単位で課金 0.35 USD / アプリケーション時間(最初の148,800時間/月)
0.26 USD / アプリケーション時間(148,801時間/月以降)
データ処理 Verified Accessで処理したデータ量 0.02 USD / GB

SSHやRDP、TCPアプリケーションなどの非HTTP(S)アプリケーションでは、以下の2つに対して料金が発生します。

課金項目 内容 料金(2026年7月時点)
エンドポイント時間 アクティブな非HTTP Verified Access Endpointごとに時間単位で課金 0.26 USD / エンドポイント時間
接続 Verified Access Instanceへの接続 100接続/エンドポイント/時間まで無料
超過分は 0.001 USD / 接続時間

記載は2026年7月時点の東京リージョンの金額です。料金は変動する可能性がありますので、AWS公式料金ページよりご確認ください。
※2026年7月時点では大阪リージョンでAWS Verified Accessの利用は不可

関連機能

AWS WAFとの連携
AWS Verified Accessは、AWS WAFと連携することで、Webアプリケーションに対する攻撃から保護できます。

AWS WAFのWeb ACLはVerified Access Instanceに関連付けることができ、SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なWeb攻撃を検知・ブロックできます。これにより、ユーザーやデバイスの認証・認可(Verified Access)とWebアプリケーション保護(AWS WAF)を組み合わせた多層的なセキュリティを実現できます。

ちなみに、利用するUser-identity Trust ProviderによってWAFがリクエストを検査するタイミングが変わります。

User-identity Trust Provider AWS WAFがリクエストを検査するタイミング
AWS IAM Identity Center 認証前
Microsoft Entra ID、Oktaなどの外部IDプロバイダー 認証後

ログ
AWS Verified Accessでは、アプリケーションへのアクセス状況を記録するVerified Access Access Logsと、Verified Accessリソースに対するAPI操作を記録するAWS CloudTrailを利用できます。

ログ 内容 出力先
Verified Access Access Logs アクセス要求、許可・拒否結果などを記録 CloudWatch Logs、Amazon S3、Amazon Data Firehose
AWS CloudTrail Verified Accessリソースの作成・変更・削除などのAPI操作を記録 AWS CloudTrail

さいごに

今回は、AWS Verified Accessについて紹介しました。

この記事が、AWS Verified Accessを学ぶ際の参考になれば幸いです!:cat::notes:

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?