WorkSpaces での Web フィルタリングを考えてみた

リモートワーク (=テレワーク, 在宅勤務) で注目が高まっている WorkSpaces での Web フィルタリングについてまとめてみました。

まさを

2020.03.03

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

みなさま Xin chao !

新型コロナウイルス COVID-95 の感染予防策として、リモートワーク (=テレワーク, 在宅勤務) の必要性が高まっている中、AWS が提供する仮想デスクトップサービス Amazon WorkSpaces を選択肢の一つとして検討されている組織・企業の方も多いのではないでしょうか。

Amazon WorkSpaces (セキュアな仮想デスクトップ (VDI) サービス) | AWS

そこで今回は、WorkSpaces 導入の過程でよくお問い合わせを受ける、Web フィルタリング (≒URL フィルタリング, Web コンテンツ制御) について考えてみたいと思います。

なお本ブログでは、サービスを表す場合を WorkSpace's'、個々の仮想デスクトップを表す場合を WorkSpace と表記しています。

Web アクセスを行うための構成

まずはじめに、WorkSpaces で Web アクセスを行うための構成をおさらいします。 大きく分けて 3 通りの方法があります。

  • WorkSpaces をパブリックサブネットで起動し、パブリック IP を自動的に割り当てる
  • WorkSpaces をパブリックサブネットで起動し、パブリック IP を手動で (=EIP で) 割り当てる
  • WorkSpaces をプライベートサブネットで起動し、パブリックサブネットに構築した NAT Gateway を利用する

それぞれの構成について、すでに分かりやすく説明したブログがありましたので、そちらをご紹介します。

WorkSpacesをインターネットにつなげる3つの方法

Web フィルタリングを行うための構成

ここからが本題です。

いきなりガッカリされるかもしれませんが、

WorkSpaces には Web フィルタリングを行う機能はありません

また、AWS が提供する他のサービスでも Web フィルタリングを行うためのサービスはありません (註 : いずれも本ブログ執筆時点において)。

したがって、以下のように別途 Web フィルタリングを行うための構成を考える必要があります。

 

※ 2020/4/10 追記 ※

こんな方法もあるということを追記しておきます!

Cloudflare GatewayでWorkSpacesのWebフィルタリングをゼロインストールで実施する | Developers.IO

オンプレミス環境の既存の Web フィルタリング環境を使う

WorkSpaces が構築された VPC とオンプレミス環境が閉域接続されている場合、オンプレミス環境にある既存の Web フィルタリングの仕組みを使うことができます。 各 WorkSpace では、使用する Web プロキシとして、既存の Web フィルタリングが稼働するサーバーを指定します。

この構成のメリットは、既存のフィルタリングポリシーを活用でき、オンプレミス環境の PC と同じようにフィルタリングポリシーをコントロールしたり、ログ管理を行うことが可能であることです。

一方で、WorkSpaces からのインターネットトラフィックにより、オンプレミス ←→ AWS 間の帯域不足が生じると、オンプレミス ←→ AWS 間を跨いで使用する他のシステムのレスポンス低下が起こる可能性があります。

AWS 内に新たに構築した Web フィルタリング環境を使う

AWS 環境内に新たに Web フィルタリング環境を構築します。 各 WorkSpace では、使用する Web プロキシとして、新たに構築した Web フィルタリングが稼働するサーバーを指定します。 インターネットトラフィックは Internet Gateway を介して送受信されるため、オンプレミス ←→ AWS 間を跨いで使用する他のシステムへの影響は出ません。

しかし、オンプレミス側だけでなく AWS 側の Web フィルタリング環境の運用 (ユーザー管理, ポリシー管理, ログ管理など) が必要となります。 また、有償製品を使う場合、追加のライセンスが必要となったり、そもそもライセンスルール上クラウドでの使用が許可されているのかも確認しておく必要があります。

エージェント常駐型の製品を使う

管理機能とエージェントを組み合わせて Web フィルタリングを行う製品もあります。

管理機能がクラウドで提供されている製品であれば、別途管理サーバーを構築することなく各 WorkSpace にエージェントをインストールするだけで Web フィルタリングを行うことができます。 Web フィルタリング専用製品と比較すると細かなコントロールが苦手かもしれませんが、セキュリティ (≒ウイルス, マルウェア) 対策製品や資産管理ソフトの中にも Web フィルタリング機能を備えているものがあります。

こちらについても、ライセンスルールは事前に確認しておく必要があります。

なお、以前ご紹介した F-Secure PSB にも Web フィルタリング機能があります。

F-Secure PSB で Web コンテンツ制御を試してみた

 

まとめ

Amazon WorkSpaces の導入を進める中で、よくお客様からご質問を受ける Web フィルタリングについてまとめてみました。

WorkSpaces 自体に Web フィルタリングの機能があるわけではないため、どのように実現するかは別途考える必要があります。 今回ご紹介した方法以外にも実現する方法はあるかもしれませんが、Web フィルタリングポリシーや運用管理の負荷などの要件に応じて実現方法を検討する必要があります。

また、有償製品を使用する場合には、ライセンスルールについても事前に把握しておくことが望ましいです。

あわせて読みたい

 

AWS再入門ブログリレー Amazon WorkSpaces 編

AWS