[レポート]JAWS-UG福岡#11 にて「WorkSpacesへのアクセス制限を考える」というタイトルでLT登壇しました #jawsug #jawsugfuk

2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11:8度目もちょっと濃い目にAWSの話をしてみよう ~あつまれ サメのもり~」のLT登壇レポートです。WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介しています。 #jawsug #jawsugfuk
2020.10.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。オペレーション部のもっさんです。
本記事は、「WorkSpacesのIPアクセスコントロールグループを活用しよう!」というテーマでLTを行った際のレポートです。

2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11:8度目もちょっと濃い目にAWSの話をしてみよう ~あつまれ サメのもり~」で、LT登壇する機会をいただきました。
今回は「WorkSpacesへのアクセス制限を考える」というタイトルで、WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介しています。
私事ではございますが、テクノロジを主題としたLT登壇は人生初だったのでドキドキしましたが、JAWS-UG福岡特有のゆる〜い雰囲気に助けられ、無事に発表を終えることができました!

イベント関連記事


イベント

資料


LT資料の補足

「IPアクセスコントロールグループ」をテーマにした理由

「セキュリティグループ」と「IPアクセスコントロールグループ」の機能の違いを理解して、スムーズなWorkSpaces環境の構築に役立てばいいな、という気持ちでテーマに選定しました。
また、WorkSpacesにアクセスできない!等のトラブルに備えて、あらかじめ行っておきたいセキュリティグループの設定なども紹介しています。

IPアクセスコントロールグループの使いどころ

WorkSpacesは、いつでも・どこからでも自分専用のデスクトップへアクセスすることができる便利なサービスです。どの場所・どの端末からでも手軽にアクセスできることが利点のひとつでもありますが、セキュリティの要件上アクセス元のIPを制限したい場合も多いと思います。
AWSで利用する通信経路の制御といえば、セキュリティグループが真っ先に思い浮かびますが……ちょっと待って!
WorkSpacesへログインするアクセス元IPアドレスを制限したい場合は、IPアクセスコントロールグループの利用が適切です。

なぜIPアクセスコントロールグループの設定を行うべきなのかを、WorkSpacesのアーキテクチャ図から考えてみましょう。


1つのWorkSpaceには2つのENIがアタッチされます。このENIはそれぞれ以下の役割を担っています。

  • ディレクトリに接続して、認証や画面のストリーミング配信に利用するENI
  • ディレクトリへのアクセス以外の通信に利用する(例:インターネットへのアウトバウンド通信)ENI

どちらのENIもカスタマー管理VPC内にありますが、構成図をよく見るとWorkSpacesの実体はAWS管理のVPC内にあることがわかります。
また、認証や画面ストリーミングを行うためのゲートウェイや認証に利用するADサービスも、AWS管理のVPC内にあり、ENIに通信するのはこれらを経由した後であることが構成図から読み取れます。
セキュリティグループはENIにアタッチされるものであるため、セキュリティグループでIPアドレスの制限をしても、WorkSpaceへログインするための認証やデスクトップ画面の閲覧・操作などが可能となってしまうことがわかります。

ENIへのアクセスを制御するセキュリティグループに対して、IPアクセスコントロールグループはディレクトリそのものへアクセスするIPアドレスを制御できます。
従って、「特定のIPアドレスからアクセスされた時のみ、WorkSpacesへログイン可能としたい」という要件であれば、IPアクセスコントロールグループの利用が適している、という結論となります。

セキュリティグループの設定

セキュリティグループは、IPアクセスコントロールグループとは担当領域が異なりますが、WorkSpacesを守ってくれる重要な機能です。
認証以外の不正なアクセス(例:Ping of Death攻撃など)がWorkSpacesに対して行われないよう、既知のIPアドレス範囲以外の通信を遮断することができます。
デフォルトではインバウンド通信はすべて拒否、アウトバウンドはすべて許可となっていますが、個人的にはインバウンド設定で下記のポートの通信は許可しておくことをおすすめします。

  • インバウンド通信(許可)
      RDP
      ICMP
      その他、WorkSpaces上で利用したいアプリケーションの接続要件で示されているポート

「WorkSpacesに接続できなくなった!」といったトラブルが発生した際に、RDPやICMPを利用して接続を試すことで、原因切り分けの手がかりとなる可能性があります。
もちろん、通信を許可するアクセス元のIPアドレスは、既知の範囲(社内ネットワークなどのIPアドレス範囲)に絞っておくことが重要です。

まとめ

WorkSpacesにおけるIPアクセスコントロールグループの使いどころについてまとめてみました。

余談ですが、今回のLT発表にあたり、かなり練習をしていたところ、当日はなんと持ち時間の5分ぴったりで終わることができ、自分でも驚きました。
運営や参加者のみなさんが、そのことを話のネタに盛り上げてくださり嬉しかったです。

JAWS-UG福岡では、今後も「ゆる〜い」雰囲気でオンラインイベントを企画しているとのことです。気になった方は、次回以降のイベントへの参加を検討してみてはいかがでしょうか?
以上、もっさん@福岡オフィス の登壇レポートでした!