新型コロナウイルスの影響でテレワーク整備が急務となっている企業さんが多くおられると思います。
経営層からの急な依頼ですぐにテレワーク環境を準備しないといけない場合、クラウドを使うのは一つの手だと思います。
AWSのWorkSpacesが条件付きで50人のユーザ制限で無料利用枠が使えるようになったことから、WorkSpacesでテレワーク環境を準備されている方を対象にセキュリティ設定のオススメを紹介したいと思います!
とりあえず使ってみたけどセキュリティが心配、経営層にどういう対策をしているか言わないといけない、といったお悩みの方にお役立ちすれば幸いです。
前提について
AWSのVPCと拠点ネットワークがVPNで通信できており、社内システムをセキュアに使いたいという方向け。
接続をされていない方は下記記事を参考に接続をしてみてください!
オススメのWorkSpacesのセキュリティ設定について
①WorkSpaceからのインターネットアクセス禁止
WorkSpaces→ディレクトリ→インターネットへのアクセス内にある無効化を選択でインターネット通信を制限可能です。
②証明書をインストールした端末からのみ接続許可
WorkSpaces→ディレクトリ→アクセス制御のオプションの「信頼されたWindows(MacOS)デバイスのみにWorkSpacesへのアクセスを許可」を選択し、ルート証明書をアップロードしてください。
証明書はオレオレ証明書でOKなのでLinuxマシンで作成してください。
その他のプラットフォームはブロックしてください。
WindowsとMacしか対応していませんが、ほとんどのケースではその他のプラットフォームは使わないと思います。
③WorkSpaceのローカル管理者の無効化
WorkSpaces→ディレクトリ→ローカル管理の設定を無効化します。
これはオンプレのクライアントでもよく設定されている項目ですが、管理者権限を制限してアプリケーションのインストールや設定変更を抑止します。
④接続元のIP制限
WorkSpaces→ディレクトリ→IPアクセスコントロールグループで接続をできるグローバルIPを制限します。
ただ、テレワークになると自宅の固定回線やモバイルルータ、スマートフォンのテザリングなど様々な通信方法があり、グローバルIPを固定している方はごくごく一部で特定は難しいと思います。
その場合は日本国内のグローバルIPだけに絞る。なども良いかもしれません。
下記サイトでAPNICで国内グローバルIPをわかりやすく公開されいますので参考になると思います。
http://www.cgis.biz/tools/access/
⑤メンテナンスモードの有効(自動Windows Update)
WorkSpaces→ディレクトリ→メンテナンスを有効にします。
こちらの設定を有効にしておくことで毎月1回自動的に起動し、最新のWindows更新プログラムが適用されます。
⑥セルフサービスアクセス許可の制限
WorkSpaces→ディレクトリ→ユーザセルフサービスアクセス許可を再起動許可以外無効化する。
こちらの設定はセキュリティ以外にもボリュームサイズの変更やコンピューティングタイプを変更することを制限できます。
設定は運用に合わせて行ってください。
ただ、エンドユーザーが認証情報をキャッシュできないように制限はしたほうが良いと思います。
⑦クリップボード共有の禁止
WorkSpacesで操作するホストとWorkSpace間のクリップボードを禁止します。
グループポリシーで制御が可能です。
グループポリシーの設定は以下の公式ドキュメントを参照してください!
Windows WorkSpaces のクリップボードのリダイレクトの有効化または無効化
⑧WorkSpaceのセキュリティグループ設定
WorkSpaces→ディレクトリ→セキュリティグループから設定可能です。
ファイルアクセスはさせず、Webアプリのみ許可などをセキュリティグループで行えばよりセキュアになります。
⑨AWS⇔拠点間の通信ログを取得
AWSとVPNを結んでいる装置で通信ログを取得して万が一の事故のときに備えることは大事だと思います。
証跡はいざというとき本当に大事です。
ざっくりとオススメのセキュリティ設定を書きましたが、まだまだよりセキュアにできる設定はあります。
ただし、セキュリティをガチガチにしてしまうと利便性が損なわれます。
セキュリティと利便性はトレードオフの関係になるのでそのあたりは社内ポリシーに応じて適切な設定を行ってください。
もしテレワークを導入したいけどどうしていいかわからない方がいらっしゃれば相談に乗りますので、twitterやブログのコメントからお気軽にご質問ください!