【レポート】後悔しない! リモートワークのはじめかた #AWS-50 #AWSSummit

【レポート】後悔しない! リモートワークのはじめかた #AWS-50 #AWSSummit

リモートワーク環境の構築に使われる AWS サービスの違いや使い分けについて、よく分かるセッションです。
Clock Icon2021.05.12

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

みなさま Xin chao !

この記事では、2021/05/12 に行われた AWS Summit Online 2021 のオンラインセッション『後悔しない! リモートワークのはじめかた(AWS-50)』の模様をレポートします。

内容にご興味を持たれた方は、ぜひ、AWS Summit Online のサイトに公開される資料をご覧になってみてください!

 

セッション概要

リモートワーク実現には悩み事が多く、その実現方法は複数存在します。AWS のサービスにも複数の選択肢が存在しますが、ソリューション導入を急ぐあまりにセキュリティ面でリスクを抱えてしまうお客様や、導入を決定した後に、大きな運用負荷を抱えるお客様も増えています。そこで本セミナーでは、リモート接続環境を考える上で抑えておきたいポイントを、AWS Client VPN, Amazon WorkSpaces, Amazon AppStream 2.0 の例をもとにご紹介していきます。

 

スピーカー

アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 技術推進本部 テクニカルソリューション部 ソリューションアーキテクト 大松 宏之

 

レポート

本セッション内で出てくる主な関連サービスは次の通り。

  • Amazon WorkSpaces
  • AWS Client VPN
  • Amazon AppStream 2.0

それ以外にも、以下のサービスが関連。

  • AWS Direct Connect
  • AWS Site-to-Site VPN
  • AWS CloudTrail
  • Amazon CloudWatch
  • AWS Directory Service

 

なぜリモートワークなのか?

  • 経済のグローバル化に伴い、いつでも誰とでも、どこからでも仕事をする必要性の高まり
  • 従来のオフィスの範囲内ですべての作業が行われる必要はない
  • どこからでも安全に作業できる環境が必要に

 

リモートワークを実現する上でのビジネス上の課題

  • 生産性の維持 ・・・ 自宅で仕事をする場合、どのように生産性を維持するか? (効率よくオンプレミス環境のシステムを使いたい)
  • 素早いプロビジョニング ・・・ 作業用の PC を新たに配ることなく、低コストで素早くプロビジョニングするには? (OS やアプリ等の環境構築にかかる時間を抑えたい)
  • データ漏洩を防ぐ ・・・ 会社の機密データの漏洩を防ぐには? (アクセス制御やデータを保護したい)

 

ビジネス上の課題を解決する代表的なソリューションと接続イメージ

仮想デスクトップ (VDI)

  • WorkSpaces ・・・ 1 人 1 インスタンス固定割り当ての、フルマネージドデスクトップサービス

ソフトウェア VPN

  • AWS Client VPN ・・・ OpenVPN ベースのマネージド VPN サービス

アプリケーション配信

  • AppStream 2.0 ・・・ プールされたインスタンスを 1 人 1 インスタンスで利用するアプリ配信サービス

 

接続イメージ

デスクトップ環境の場所の違いに注目 (接続元デバイス上か? AWS 上か?)。

 

生産性の維持 - オンプレミス環境との接続

Direct Connect や Site to Site VPN で、AWS 環境とオンプレミス環境を接続。 冗長化については、必要な帯域や条件を検討して選択。

  • Direct Connect を複数回線接続 ・・・ 一貫性のある通信品質
  • メイン Direct Connect + バックアップ Site to Site VPN 接続 ・・・ 障害発生時の回線品質を許容できる場合
  • Site to Site VPN 接続を複数 ・・・ 通信品質の劣化が許容できる場合

 

生産性の維持 - デスクトップ環境

利用できる OS の違いに留意。 Windows Server では動かないシステムが必要な場合には、Client VPN 一択。

  • WorkSpaces ・・・ Windows 10 相当 (Windows Server 2016 デスクトップエクスペリエンス), Amazon Linux 2
  • AWS Client VPN ・・・ 接続元 PC の環境に依存 (Windows 10, macOS, Android/iOS 等)
  • AppStream 2.0 ・・・ Windows Server 2012 R2, 2016, 2019

 

生産性の維持 - データの保存と共有

データの保存場所と永続化の違いに留意。 ユーザー間でのデータのやり取りは、オンプレミス環境や AWS 上に用意したファイルサーバー、または、オンラインストレージサービスを利用。

  • WorkSpaces ・・・ D: ドライブ全体を永続的に利用可能 (ユーザーがインストールするアプリやユーザープロファイルを含む)
  • AWS Client VPN ・・・ 接続元 PC のローカルに保存
  • AppStream 2.0 ・・・ 3 種類の (永続的な) ストレージを選択可能 (ホームフォルダ=S3, Google Drive, Microsoft OneDrive for Business)

 

素早いプロビジョニング - クライアント環境の手配

カスタムイメージを利用した展開か、既存のものを利用するかの違いに留意。

  • WorkSpaces ・・・ カスタムイメージを使い同じ環境を素早く展開可能, ネイティブクライアントまたは Web ブラウザで接続
  • AWS Client VPN ・・・ 既存の PC キッティング, 接続アプリケーションや設定ファイルはセルフポータルサイトから展開可能
  • AppStream 2.0 ・・・ カスタムイメージを使い同じ環境を素早く展開可能, Web ブラウザまたはネイティブクライアントで接続

 

素早いプロビジョニング - コスト

いずれも使った分だけで小規模な環境から素早く利用開始することが可能。

  • WorkSpaces ・・・ インスタンスタイプに応じた時間料金または月額料金 (1 人 1 インスタンスを固定割り当て)
  • アクティブなクライアントの接続数毎の時間料金 + VPN 接続エンドポイントアソシエーションの時間料金
  • AppStream 2.0 ・・・ インスタンスタイプに応じた時間料金 + ユーザー月額料金 (1 人 1 インスタンスだがプールされたインスタンスを利用)

 

データ漏洩を防ぐ - アクセス制御

ログインの際にどのようなアクセス制御をかけられるか、また、何を特定したいのか (ユーザー? デバイス?) に留意。

  • WorkSpaces ・・・ AD 認証 (RADIUS サービスとの連携により MFA 対応), 証明書ベースの認証, 接続元 IP 制御, デバイスタイプごとの許可
  • AWS Client VPN ・・・ AD 認証 (RADIUS サービスとの連携により MFA 対応), 証明書ベースの認証, SAML ベース認証, カスタム認証ロジックの追加 (特定ユーザーのみ NG にする等)
  • AppStream 2.0 ・・・ 内部 UserPool, SAML ベース認証 (MFA 対応等は SAML2.0 IdP に依存), 独自の ID サービスを利用したカスタム ID 認証

ログイン後にどのような制御をかけられるかにも留意。

  • WorkSpaces ・・・ グループポリシー (クリップボード制御を含む), セキュリティグループ
  • AWS Client VPN ・・・ セキュリティグループ, 認証ルール (AD や SAML IdP のグループに応じたアクセス先 CIDR の制御)
  • AppStream 2.0 ・・・ グループポリシー (=ログイン時には AD 認証できないが AD 参加は可能なため), AppStream 2.0 の機能によるクリップボード制御, セキュリティグループ

 

データ漏洩を防ぐ - データの保護

いずれのソリューションでも、データと通信経路は暗号化されている。

  • WorkSpaces ・・・ データを接続元 PC に残さない, データ暗号化, 通信経路暗号化
  • AWS Client VPN ・・・ データの暗号化は接続元 PC の環境に依存, 通信経路暗号化
  • AppStream 2.0 ・・・ データを接続元 PC に残さない, データ暗号化, 通信経路暗号化

 

データ漏洩を防ぐ - 運用監視

普段の正常な状態を把握しておくことで異常な状態が分かる、ということに注意。

  • WorkSpaces ・・・ CloudTrail で API 操作履歴保存, CloudWatch Metrics による監視, CloudWatch Events によるログインイベント通知
  • AWS Client VPN ・・・CloudTrail で API 操作履歴保存, CloudWatch Metrics による監視, CloudWatch Logs でログの保存
  • AppStream 2.0 ・・・ CloudTrail で API 操作履歴保存, CloudWatch Metrics による監視, 使用状況レポート

 

ユースケース

1 つの方法に絞るのではなく、利用者の環境に応じて複数の選択肢を持つことが重要。

  • WorkSpaces ・・・ BYOD, テスト・開発環境の迅速な展開, リモートワーク社員への永続的なデスクトップ環境
  • AWS Client VPN ・・・ 新たなデスクトップ環境のためのコスト軽減, 既存環境 (=接続元 PC) の流用, Windows Server では動かないアプリ
  • AppStream 2.0 ・・・ プールされたインスタンスを効率よく利用, 特定アプリケーションを迅速に提供, デモ等のサンドボックス環境

 

構成例 - WorkSpaces

 

構成例 - AWS Client VPN

 

構成例 - AppStream 2.0

 

さいごに

リモートワーク環境の構築に利用される代表的な AWS のサービスである WorkSpaces、AWS Client VPN, AppStream 2.0 について、それぞれの特徴や違いが簡潔にまとまっていて、その使い分けについてあらためて理解を深めることができるセッションでした。

内容に興味を持たれた方は、ぜひ AWS Summit Online のサイトに公開される資料をチェックしましょう!

 

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.