top of page
検索
  • 執筆者の写真make

AWS Verified AccessはAWS ClientVPNの代わりとなりうるか?

更新日:2月23日

始めに

 

2023/10にAWS Verified Accessが東京リージョンで使えるようになり、AWS ClientVPNに置き換わるものか?どういう場面で使うべきか?調査を行う機会があったので、そこで得た知見を共有します。


そもそもどういうサービス?

 

AWS Verified Accessとは許可したユーザー及びデバイスからVPNレスで企業内(AWS及びAWS環境とDXなどで繋がったオンプレ)のイントラアプリに外部からアクセスできるようにする仕組みを提供するサービスになります。


類似サービスとの比較

 

今回の調査では元々使用していることもあり、AWS ClientVPNとの比較を行いました。また、詳しい調査は実施していないものの同じく社内NWに外部からアクセス手法として仮想デスクトップ(VDI)相当の方法もあり、これに対応するAmazon WorkSpacesも比較対象に挙げてみます。

比較項目

Verified Access

ClientVPN

WorkSpaces

接続方法

Web(HTTPS)

VPN接続

VDI

認証

認証プロバイダとのOIDC、デバイスベースの信頼プロバイダ

AD認証 、認証プロバイダとのSAML、クライアント証明書


or


クライアント証明書とユーザーベースとなる他2つの認証のどちらかとの組み合わせ

AD認証(+認証プロバイダとのSAML、クライアント証明書、スマートカード認証)

認可

エンドポイントごとにCedarによる細かなポリシー設定


VerifiedAccessグループで同一ポリシーをまとめて管理可

CIDR範囲とルールで設定


細かな制御はLambdaでカスタムルールとすることも可

WorkSpacesにアタッチされるプライマリENIへのSGで制御

クライアント環境準備

ユーザ認証のみであれば、ブラウザのみで特別な設定は不要。


端末レベルの検査も行う場合はChromeへプラグインが必要

VPN接続クライアントが必要


証明書を使う場合は証明書の準備が必要。

workspaces clientが必要


一部制約があるが、WorkSpacesWebAccessが有効であれば、ブラウザ経由での接続も可。


証明書やスマートカードを使う場合はそれらの準備が必要。

料金体系

エンドポイント:$0.35/h(148,800h〜は$0.26/h)


エンドポイントとの通信:$0.02/GB

関連付けエンドポイント:$0.15/h


接続時間:$0.05/h

環境スペックごとに異なる。かつ月額固定と時間課金の二種から選べ途中切り替えも可能。


ミニマムな「バリュー」の場合


月額料金:$32.00/h


時間課金:$10.00/月(最低固定)+$0.27/h

コストを抑える手法

必要最小限のエンドポイントのみ利用する。


エンドポイントを毎度消すのは現実的ではない。

エンドポイントの関連付けアタッチ/デタッチLambdaを仕掛ける。


スプリットトンネルをあえて無効化し、利便性を犠牲にして切り忘れを防ぐ

利用量をチェックして課金方法を切り替える


Amazon WorkSpaces のコストオプティマイザー

メリット

・VPN-lessなため、クライアントの準備が不要


・構築が比較的容易

・VPN接続できれば、自分のPCから作業可能で動作快適


・CIDRとカスタムルールでアクセス制御のバランスがよい


→CIDR範囲で広くエリア設定しつつ、ルールは細かくできる

仮想デスクトップ上の作業なので、ローカルへの情報漏えいがない


クリップボードリダイレクトの無効化前提

デメリット

・使用せずとも常時時間料金発生し、費用が高い


・内部ALBが必須となり、Webアクセスサービス限定

・VPN接続用クライアントの用意が必要


・快適すぎて繋ぎっぱなしなどをされると費用がかさむ

・仮想デスクトップ経由なので快適度は劣る


・ADが必須


向いているユースケース

 

調査の結果、下記理由によりAWS Verified AccessはAWS ClientVPNに置き換わるものではないことが見えました。

  • エンドポイント(Webシステム)ごとに設定するサービスであること

向いているユースケースとしては以下のようなものになります。

  • 基本的に社内専用のWebシステムだが、一部例外的に許可した端末・ユーザーからのみ外部からのアクセスを許可したい。

  • 上記例外ユーザーは普段外部から社内へのアクセス手段は持たない。

  • 例外公開するがセキュアな情報が含まれており、ゼロトラストセキュリティとしたい。


まとめ

 

AWS Verified AccessはAWS ClientVPNの代わりとなりうるか?という問いに対しては「No」という回答になりました。

今回、比較対象とした他2つと共にまとめる以下のような使い分けがよさそうです。

サービス

向いているユースケース

AWS Verified Access

・セキュアなWebシステムを限定アクセス許可

AWS ClientVPN

・社用PCを使って外出先などから利用

Amazon WorkSpaces

・時々リモート作業する社員


・外部開発ベンダーへの環境提供

AWSにはたくさんサービスがあり、一見似たようなものもよくありますが、別サービスとして提供しているということはそれぞれに適したユースケースが必ずあります。適材適所でうまくクラウド活用しましょう。

閲覧数:12回0件のコメント

最新記事

すべて表示

データ状態によりSQLを異常終了させたい

はじめに 夜間バッチのデータ更新等では、入力テーブルが0件などのデータの状態によってSQLを継続実行せず、エラー終了したいケースがあります。 出力テーブルが0件で作成されると、後続の参照処理大きな障害を引き起こしかねないケースで、中断することで前日状態を維持したい場合です。 例えば、全件洗いがえのマスター系データが障害により0件で連携されたなど、夜間バッチの障害では時々出会う事象です。 前提 SQ

bottom of page