リモートワーク 在宅勤務 テレワークにAWSを活用するパターン集
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。
前回はリモートワーク/在宅勤務/テレワークを成功させる鍵を考えてみました。
今回は私のロールに相応しく少しだけテックにまとめました。 リモートワーク/在宅勤務/テレワークに AWS を活用するパターンを考えてみました。
テレワークにAWSを活用するパターン
サマリ
Client VPN
【概要】
- マネージドサービスの Client VPN を使用。
【可用性】
- VPN サブネットを2つ Multi-AZ で用意。
【認証】
- VPN の認証は Active Directory 認証と相互認証(証明書) の何れか。
- Active Directory は既存の AD サーバーと接続も可能。
- 多要素認証も可能 (既存 AD の機能に依存)。
- 相互認証はエンドポイントあたり1つのサーバー証明書と複数のクライアント証明書を用意。
【管理・統制】
- Active Directory グループごとにアクセス可能なネットワークを定義。
- クライアント接続ログは CloudWatch Logs に保存される。
VPNサーバー on EC2
【概要】
- VPN サーバーは EC2 で構成、 Multi-AZ 配置。
- クライアントとは別に Direct Conncet でデータセンター等と接続している場合
- VPN サーバーは NAT モード (IP マスカレード) にしておく。
- VPN サーバーのソフトウェアによっては高機能なものもある。
【可用性】
- Route 53 でラウンドロビンより VPN サーバーを割り振り。
- EC2 を増やすことでスケールアウトする。
【認証】
- 認証サーバーを用意しておくと VPN ID 管理が楽。
【管理・統制】
- VPN サーバー自体や OS のセキュリティ対策は自社で行う。
WorkSpaces
【概要】
- 専用クライアント、または、Web アクセスで仮想デスクトップへ接続。
- 仮想デスクトップは Windows と Linux を用意。
- Windows, MS Office のライセンス持込可能。
【可用性】
- AWS 管理のもとで冗長構成が組まれている。
【認証】
- ユーザー管理は Directory Service を使用。
- 独自にディレクトリを持つことも既存 Active Directory と連携も可能。
- 多要素認証(既存 AD の機能に依存)、証明書によるアクセス制御が可能。
【管理・統制】
- グループポリシーを仮想デスクトップに適用可能。
- 自社の業務で必要なカスタマイズをしたイメージを作成可能。
- IP アドレスによるアクセス制御
AppStream 2.0
【概要】
- 特定アプリケーションをストリーミングでユーザーへ提供。
- HTML5 対応ブラウザ、または、専用クライアントから利用。
【可用性】
- AWS 管理のもとで冗長構成が組まれている。
【認証】
- ユーザープール(組み込み)/SAML2.0/独自 ID サービスの3種類の認証。
【管理・統制】
- ユーザーが使うアプリケーションインストール済みのイメージを作成。
- HIPAA に適合、PCI に準拠。
参考
[アップデート] AWS Client VPN 用の VPN クライアントが AWS より提供されました
HIGOBASHI.AWS 第3回 ネットワーク応用編:「AWSでソフトウェアVPNを使う」で発表しました #higobashiaws #akibaaws
AKIBA.AWS 第6回 ネットワーク基礎編:「VPN接続とルーティングの基礎」で発表しました #akibaaws
リモートワークの増加で需要が高まるAmazon WorkSpacesをゼロからざっくり理解する
WorkSpaces設計時に検討する認証に関する構成3パターン
ウェブアクセスWorkSpacesとAppStream 2.0はどう違う?
Cloudflare Accessで明日から必要なオンプレとクラウドへのリモートアクセス環境をいますぐ構築する
リモートワーク 在宅勤務 テレワークを成功させる鍵を考えてみた
最後に
この資料を作成するにあたり多くの知恵を与えてくれた私の仲間に感謝します。 中山順博,まさを, 市田善久,島川寿希也,中川翔太,しがひ
以上、吉井 亮 がお届けしました。