AWSは2024年12月、AWS Verified Accessにおける新機能として、**非HTTP(S)プロトコル(例:TCP、SSH、RDP)**を使用するリソースへの安全なアクセスをサポートするプレビュー版を発表しました。この機能により、企業はゼロトラストセキュリティモデルを採用しつつ、従来のVPNに頼らない柔軟なアクセス制御を実現できます。
AWS Verified Accessとは?
AWS Verified Accessは、ユーザーのアイデンティティとデバイスの状態に基づき、リソースへのアクセスをリアルタイムで制御するサービスです。従来、企業アプリケーションへのアクセスにはVPNが必要でしたが、Verified AccessはVPN不要で、より柔軟で効率的なアクセス管理を提供します。
今回のアップデートでは、非HTTP(S)プロトコルに対応し、SSHやRDPを使用するリソースのアクセス管理も可能になりました。
新機能の特長
1. 非HTTP(S)プロトコル対応
Verified Accessは、HTTPやHTTPS以外のプロトコルにも対応を拡大。これにより、以下のような用途で利用されるリソースへのアクセスが可能になります:
- SSH:リモートサーバー管理。
- RDP:Windowsベースのシステムへのアクセス。
- TCP:データベースやファイル転送など。
2. ゼロトラストセキュリティ
ユーザーのアイデンティティ、デバイスの状態、アクセス元などを基にポリシーを適用し、従来よりも精密なアクセス制御を実現。
3. VPN不要
従来、VPNが必要だったリソースへのアクセスを、Verified Accessを利用することでシンプルかつ安全に提供可能。
4. 柔軟なポリシー管理
IAMと統合されたポリシーにより、ユーザーやデバイスに基づいたアクセス制御が容易に設定可能。
想定される利用用途
1. 開発環境へのアクセス管理
- リモート開発者がGitリポジトリやコードベースにアクセスする際の認証・制御を強化。
- 未承認デバイスからのアクセスを排除。
2. データベース管理
- 管理者のみが特定のデバイスからデータベースにアクセスできるように設定可能。
- 例:MySQLやPostgreSQLなどのTCPベースの接続。
3. リモートシステムの管理
- EC2インスタンスやオンプレミスサーバーへのSSHまたはRDPアクセスを制御。
- システム管理者のリモート作業を安全にサポート。
4. セキュアなファイル転送
- TCPベースのファイル転送やストレージリソースへのアクセスを安全に提供。
メリット
1. セキュリティ強化
ユーザーやデバイスごとに細かくポリシーを設定可能。ゼロトラストセキュリティモデルの採用により、不正アクセスを防止。
2. 運用効率の向上
非HTTP(S)プロトコルを含むすべてのリソースアクセスを一元管理。管理者の負担を軽減。
3. VPN不要
ユーザーエクスペリエンスを向上し、VPNに関連するインフラコストを削減。
デメリット
1. 初期設定の難易度
ポリシー設定や非HTTP(S)プロトコルのアクセス制御を構築する際に、専門的な知識が必要。
2. プレビュー版の制限
現在はプレビュー版の提供であり、全機能が完全に実装されていない可能性がある。
3. 既存環境との互換性
他のセキュリティソリューションや既存のネットワークインフラとの統合に課題が生じる場合がある。
公式サイトのリンク
詳細については、AWSの公式発表ページをご覧ください。
まとめ
AWS Verified Accessの非HTTP(S)プロトコルサポートにより、企業はさまざまなリソースへのアクセス管理を一元化し、ゼロトラストセキュリティを採用することが容易になりました。VPN不要で安全なアクセスが可能となることで、セキュリティとユーザーエクスペリエンスの両立が期待されます。一方で、導入時の計画とポリシー設定には十分な注意が必要です。
