Amazon WorkSpacesを活用して直近のテレワーク需要の急場を凌ぐ

直近のテレワーク需要の急増に対応すべく WorkSpaces を活用して急場を凌ぐ方法を紹介します。
2020.04.07

こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井 亮です。

新型コロナウイルスの感染拡大防止のため不要不急な外出を控えている方が多くいることと思います。

全社的なテレワークの推進がトップダウンで命じられても VPN や仮想デスクトップを社員が満足するだけの数を用意するのは時間がかかります。
「テレワークは決まった。IT はどうする?」
こんな悩みを持つ情報システム部門の方々に急場を凌ぐための WorkSpaces 活用方法をお伝えします。
何かお役に立てば幸いです。

何をするのか

WorkSpaces のアウトバウンド接続を NAT Gateway 経由にします。こうすることでアウトバウンドが固定 IP アドレスになります。
WorkSpaces を何台起動したとしても同じ IP アドレスでインターネットへ出ていきます。
自社オンプレミスのファイアウォールで NAT Gateway の IP アドレスからの通信を許可します。

何が良いか

ファイル受け渡し禁止

WorkSpaces はドラッグ&ドロップによるファイル受け渡しやクリップボードの共有を禁止することが可能です。
自宅 PC から WorkSpaces に接続してもファイルの持ち出しや自宅 PC からのマルウェア感染を防ぐことが可能です。

すぐにできる

本格的にテレワーク環境を整備するには時間もお金もかかります。
本エントリの内容は比較的すぐに実施できるのではないでしょうか。
AWS から WorkSpaces 使用に関する支援もありますので、今現在とても困っている方は試す価値はあると考えます。
在宅勤務を実現するAmazon WorkSpaces および Amazon WorkDocs に関する新しい提案

留意点

AWS (WorkSpaces) ~ 自社システム間は暗号化された通信が望ましいと考えます。
HTTPS や ssh/RDP などのプロトコル採用を検討ください。

どうしようもならない都合で暗号化されない通信を許容するにしても
アクセスさせるシステムは厳選するようお願いします。
(Anything OK にしない)

本エントリの構成は急場を凌ぐための策として考え
将来的には Direct Connect や VPN の導入を検討ください。

WorkSpaces クライアント用の ID/パスワードが漏洩すると危険です。
クライアント証明書の配布をして二重の認証を検討ください。

やってみた

サブネット作成

パブリックサブネットとプライベートサブネットを作成します。
Availability Zone を分散して複数作成することをおすすめします。

パブリックサブネット

パブリックサブネットには Internet Gateway をルートテーブルに追加します。

NAT Gateway

NAT Gateway を作成します。
これも Availability Zone を分散して複数作成します。
可用性と負荷分散の目的です。

プライベートサブネット

プライベートサブネットには NAT Gateway をルートテーブルに追加します。

WorkSpaces 起動

WorkSpaces はプライベートサブネットで起動します。
これで以上です。

まとめ

とりあえず急場は凌げそうです。
恒久的なテレワーク環境を整備するには考えなければならないことは多いですが、「いますぐに」というご要望があった場合には検討してみてください。

参考

在宅勤務を実現するAmazon WorkSpaces および Amazon WorkDocs に関する新しい提案
リモートワーク 在宅勤務 テレワークにAWSを活用するパターン集

以上、吉井 亮 がお届けしました。