始めに
2023/10にAWS Verified Accessが東京リージョンで使えるようになり、AWS ClientVPNに置き換わるものか?どういう場面で使うべきか?調査を行う機会があったので、そこで得た知見を共有します。
そもそもどういうサービス?
AWS Verified Accessとは許可したユーザー及びデバイスからVPNレスで企業内(AWS及びAWS環境とDXなどで繋がったオンプレ)のイントラアプリに外部からアクセスできるようにする仕組みを提供するサービスになります。
類似サービスとの比較
今回の調査では元々使用していることもあり、AWS ClientVPNとの比較を行いました。また、詳しい調査は実施していないものの同じく社内NWに外部からアクセス手法として仮想デスクトップ(VDI)相当の方法もあり、これに対応するAmazon WorkSpacesも比較対象に挙げてみます。
比較項目 | Verified Access | ClientVPN | WorkSpaces |
接続方法 | Web(HTTPS) | VPN接続 | VDI |
認証 | 認証プロバイダとのOIDC、デバイスベースの信頼プロバイダ | AD認証 、認証プロバイダとのSAML、クライアント証明書 or クライアント証明書とユーザーベースとなる他2つの認証のどちらかとの組み合わせ | AD認証(+認証プロバイダとのSAML、クライアント証明書、スマートカード認証) |
認可 | エンドポイントごとにCedarによる細かなポリシー設定 VerifiedAccessグループで同一ポリシーをまとめて管理可 | CIDR範囲とルールで設定 細かな制御はLambdaでカスタムルールとすることも可 | WorkSpacesにアタッチされるプライマリENIへのSGで制御 |
クライアント環境準備 | ユーザ認証のみであれば、ブラウザのみで特別な設定は不要。 端末レベルの検査も行う場合はChromeへプラグインが必要 | VPN接続クライアントが必要 証明書を使う場合は証明書の準備が必要。 | workspaces clientが必要 一部制約があるが、WorkSpacesWebAccessが有効であれば、ブラウザ経由での接続も可。 証明書やスマートカードを使う場合はそれらの準備が必要。 |
料金体系 | エンドポイント:$0.35/h(148,800h〜は$0.26/h) エンドポイントとの通信:$0.02/GB | 関連付けエンドポイント:$0.15/h 接続時間:$0.05/h | 環境スペックごとに異なる。かつ月額固定と時間課金の二種から選べ途中切り替えも可能。 ミニマムな「バリュー」の場合 月額料金:$32.00/h 時間課金:$10.00/月(最低固定)+$0.27/h |
コストを抑える手法 | 必要最小限のエンドポイントのみ利用する。 エンドポイントを毎度消すのは現実的ではない。 | エンドポイントの関連付けアタッチ/デタッチLambdaを仕掛ける。 スプリットトンネルをあえて無効化し、利便性を犠牲にして切り忘れを防ぐ | |
メリット | ・VPN-lessなため、クライアントの準備が不要 ・構築が比較的容易 | ・VPN接続できれば、自分のPCから作業可能で動作快適 ・CIDRとカスタムルールでアクセス制御のバランスがよい →CIDR範囲で広くエリア設定しつつ、ルールは細かくできる | 仮想デスクトップ上の作業なので、ローカルへの情報漏えいがない クリップボードリダイレクトの無効化前提 |
デメリット | ・使用せずとも常時時間料金発生し、費用が高い ・内部ALBが必須となり、Webアクセスサービス限定 | ・VPN接続用クライアントの用意が必要 ・快適すぎて繋ぎっぱなしなどをされると費用がかさむ | ・仮想デスクトップ経由なので快適度は劣る ・ADが必須 |
向いているユースケース
調査の結果、下記理由によりAWS Verified AccessはAWS ClientVPNに置き換わるものではないことが見えました。
エンドポイント(Webシステム)ごとに設定するサービスであること
向いているユースケースとしては以下のようなものになります。
基本的に社内専用のWebシステムだが、一部例外的に許可した端末・ユーザーからのみ外部からのアクセスを許可したい。
上記例外ユーザーは普段外部から社内へのアクセス手段は持たない。
例外公開するがセキュアな情報が含まれており、ゼロトラストセキュリティとしたい。
まとめ
AWS Verified AccessはAWS ClientVPNの代わりとなりうるか?という問いに対しては「No」という回答になりました。
今回、比較対象とした他2つと共にまとめる以下のような使い分けがよさそうです。
サービス | 向いているユースケース |
AWS Verified Access | ・セキュアなWebシステムを限定アクセス許可 |
AWS ClientVPN | ・社用PCを使って外出先などから利用 |
Amazon WorkSpaces | ・時々リモート作業する社員 ・外部開発ベンダーへの環境提供 |
AWSにはたくさんサービスがあり、一見似たようなものもよくありますが、別サービスとして提供しているということはそれぞれに適したユースケースが必ずあります。適材適所でうまくクラウド活用しましょう。