EDS Enterprise はネットワークセキュリティをどのように確保しますか? - Elastic Desktop Service

Elastic Desktop Service (EDS) Enterprise は、クラウドコンピュータへのセキュアで制御されたネットワークアクセスを提供します。パブリック帯域幅を提供して信頼性の高い接続性を確保すると同時に、高度なセキュリティ対策を採用して外部および内部の脅威から保護します。さらに、EDS Enterprise は、セキュリティグループポリシーとドメイン名制限によってきめ細かいアクセス制御を実施し、企業のオフィスセキュリティ要件を満たすユーザーネットワーク権限の正確な管理を可能にします。

01 ネットワークアクセス

1.1 セキュリティグループポリシー

EDS Enterprise は、管理者にセキュリティグループポリシーを提供して、組織のクラウドコンピュータへのネットワークアクセス権限を制御します。これらのポリシーは、Elastic Compute Service セキュリティグループルールを反映したカスタムルールで構成されており、トラフィックの方向（インバウンドまたはアウトバウンド）、承認操作（許可または拒否）、優先レベル、プロトコルタイプ、ポート範囲、承認済みオブジェクト（IP または CIDR ブロック）、およびルールの説明を構成できます。範囲と優先順位が異なるルールを戦略的に組み合わせることで、管理者は必要に応じてネットワークアクセスを制限するための正確なホワイトリスト制御を実装できます。

ビジネス要件に基づいて、セキュリティグループルールを構成して、クラウドコンピュータのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。次のシナリオでは、セキュリティグループルールの設定例を示します。

シナリオ 1

デフォルトでは、クラウドコンピュータはすべてのアウトバウンドアクセスを許可します。アウトバウンドアクセスルールを構成して、特定の IP アドレスへの接続を制限できます。

ルール 1：すべてのアウトバウンドアクセスを拒否します。設定例：
方向
承認
優先順位
プロトコルタイプ
ポート範囲
承認済みオブジェクト
アウトバウンド
拒否
2
すべて
-1/-1
0.0.0.0/0

ルール 2：ルール 1 に基づいて特定の IP アドレスへのアクセスを許可します。このルールは、ルール 1 よりも高い優先順位である必要があります。設定例：

方向	承認	優先順位	プロトコルタイプ	ポート範囲	承認済みオブジェクト
アウトバウンド	許可	1	プロトコルタイプを選択します。	ポート範囲を指定します。	クラウドコンピュータがアクセスできる CIDR ブロック。例：192.168.1.1/32。

シナリオ 2

仮想プライベートクラウド (VPC) などの企業プライベートネットワーク環境では、インバウンドルールを構成して、特定の IP アドレスからクラウドコンピュータへのアクセスを許可できます。設定例：

方向	承認	優先順位	プロトコルタイプ	ポート範囲	承認済みオブジェクト
インバウンド	許可	1	プロトコルタイプを選択します。	ポート範囲を指定します。	クラウドコンピュータにアクセスできる CIDR ブロック。例：192.168.1.1/32。

シナリオ 3

クラウドコンピュータ A と B は、それぞれポリシー 1 と 2 に関連付けられています。デフォルトでは、VPC 環境のクラウドコンピュータはすべてのインバウンドアクセスを拒否するため、クラウドコンピュータ A と B 間の通信はできません。クラウドコンピュータ A と B 間のアクセスを有効にするには、ポリシー 1 と 2 に次のインバウンドルールを追加します。

クラウドコンピュータ B からのアクセスを許可するには、次のインバウンドルールをポリシー 1 に追加します。設定例：

方向	承認	優先順位	プロトコルタイプ	ポート範囲	承認済みオブジェクト
インバウンド	許可	1	プロトコルタイプを選択します。	ポート範囲を指定します。	クラウドコンピュータ B の IP アドレス。

クラウドコンピュータ B からのアクセスを許可するには、次のインバウンドルールをポリシー 2 に追加します。設定例：

方向	承認	優先順位	プロトコルタイプ	ポート範囲	承認済みオブジェクト
インバウンド	許可	1	プロトコルタイプを選択します。	ポート範囲を指定します。	クラウドコンピュータ A の IP アドレス。

デフォルト状態：無効
構成責任者：お客様
機能コスト：無料
依存サービス：なし
条件：
- ルール数
  最大 200 個のセキュリティグループルールを構成できます。
- インバウンドルール
  デフォルトでは、クラウドコンピュータはすべてのアウトバウンドアクセスを許可します。インバウンドアクセスは、次の原則に従います。
  - インターネット環境では、クラウドコンピュータはインバウンドアクセスリクエストを許可しません。インバウンドルールは、構成されていても有効になりません。
  - 企業 VPC 環境では、クラウドコンピュータはデフォルトですべてのインバウンドアクセスリクエストを拒否します。ただし、インバウンドルールを構成して、特定の IP アドレスからのアクセスリクエストを許可できます。
参照：セキュリティグループ制御

構成または使用方法

EDS Enterprise コンソールにログオンします。
左側のナビゲーションウィンドウで、[運用と保守] > [ポリシー] を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、指示に従って [ポリシー名] パラメータを構成し、ビジネス要件に基づいてポリシー構成を変更してから、[OK] をクリックします。
カスタムポリシーを作成すると、[ポリシー] ページでポリシーを表示できます。

[セキュリティグループ制御] セクションで、[ルールの追加] をクリックします。 [ルールの追加] ダイアログボックスで、必要に応じて次のパラメータを構成し、[OK] をクリックします。

パラメータ	説明
方向	インバウンド：クラウドコンピュータへのリクエストを許可するかどうかを指定します。アウトバウンド：クラウドコンピュータからのリクエストを許可するかどうかを指定します。
承認	許可：アクセスリクエストを許可します。拒否：アクセスリクエストを拒否し、データパケットをドロップし、応答を返しません。
優先順位	有効値：1 ～ 60。値が小さいほど、優先順位が高くなります。同じタイプのルールが複数存在する場合、優先順位が最も高いルールが適用されます。
プロトコル	TCP、UDP、ICMP (IPv4)、および GRE プロトコルがサポートされています。
ポート範囲	アプリケーションまたはプロトコルで許可されるポート。 [カスタム TCP] パラメーターまたは [カスタム UDP] パラメーターに Protocol パラメーターを設定すると、ポートを指定できます。ポートを指定する場合、ポート番号 ( `80` など) またはポート範囲 ( `1/80` など) を入力できます。詳細については、「共通ポート」をご参照ください。
承認済みオブジェクト	IPv4 CIDR ブロック。
説明	セキュリティグループルールの説明。

1.2 ドメイン名制御

EDS Enterprise は、ドメイン名制御ポリシーを提供し、管理者が DNS ルールを通じて組織のクラウドコンピュータへのネットワークアクセスを管理できるようにします。セキュリティグループポリシーとは異なり、これらの制御はドメインレベルで動作し、ドメイン名（ワイルドカード * を含む）と承認操作（許可または拒否）の簡単な構成のみが必要です。このアプローチにより、正確な制御を維持しながら、Web サイトとサービスのアクセス管理が大幅に簡素化されます。

実装のために、管理者は特定のドメイン名（次の表に示すように）を使用して DNS ルールを構成し、きめ細かい制御を実現できます。

ドメイン名	例	アクセスポリシー	説明
セカンドレベルドメイン名	`example.com`	許可	クラウドコンピュータは `example.com` にアクセスでき、エンドユーザーはクラウドコンピュータで Web ページを正常に開くことができます。
サードレベルドメイン名	`writer.examplec.com`	拒否	クラウドコンピュータが `writer.example.com` にアクセスしようとすると、エラーコード 404 が返されます。
サードレベルドメイン名	`developer.example.com`	許可	クラウドコンピュータは `developer.example.com` にアクセスでき、エンドユーザーはクラウドコンピュータで Web ページを正常に開くことができます。
フォースレベルドメイン名	`image.developer.example.com`	拒否	クラウドコンピュータが `image.developer.example.com` にアクセスしようとすると、エラーコード 404 が返されます。
	`video.developer.example.com`	許可	クラウドコンピュータは `video.developer.example.com` と `guide.developer.example.com` にアクセスでき、エンドユーザーはクラウドコンピュータで Web ページを正常に開くことができます。
	`guide.developer.example.com`	許可

デフォルト状態：無効
構成責任者：お客様
機能コスト：無料
依存サービス：なし
条件：
- ドメイン名
  クラウドコンピュータの最適なパフォーマンスを維持するために、次の予約済みドメイン名は DNS ルール制御から除外されます。これらのドメイン名はクラウドコンピュータからアクセス可能なままであり、DNS ルールを使用してブロックしても効果はありません。
  - *.gws.aliyun
  - *.aliyun.com
  - *.alicdn.com
  - *.aliyunpds.com
  - *.aliyuncds.com
  - *.aliyuncs.com
- OS
  ドメイン名アクセス制御は、Windows クラウドコンピュータでのみ有効になります。
- ルール数
  最大 300 個の DNS ルールのみ構成できます。
参照：ドメイン名アクセス制御

構成または使用方法

EDS Enterprise コンソールにログオンします。
左側のナビゲーションウィンドウで、[運用と保守] > [ポリシー] を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、指示に従って [ポリシー名] パラメータを構成し、ビジネス要件に基づいてポリシー構成を変更してから、[OK] をクリックします。
カスタムポリシーを作成すると、[ポリシー] ページでポリシーを表示できます。

DNS ルールを構成するには、次の操作を実行します。 [ドメイン名アクセス制御（旧 DNS 機能）] セクションで [ルールの追加] をクリックします。 [ルールの追加] ダイアログボックスで次のパラメータを構成します。次に、[OK] をクリックします。

パラメータ	説明
ドメイン名	DNS ルールを構成する必要があるドメイン名。一度に 1 つのドメイン名のみ入力できます。アスタリスクワイルドカード (`*`) がサポートされています。
説明	DNS ルールの説明。
アクセスポリシー	アクセスポリシー。[許可] または [拒否] を選択できます。説明アクセスポリシーパラメーターが「許可」に設定されている DNS ルールを複数設定する必要がある場合は、パラメーターが「拒否」に設定されているルールを追加する必要があります。ルールはリスト内の順序に基づいて優先順位が付けられ、最初のルールが最も優先順位が高くなります。表示順序を変更することで、優先順位を調整できます。

02 ネットワーク境界

2.1 オフィスネットワーク内のクラウドコンピュータの相互運用性

クラウドコンピュータは、オフィスネットワーク（旧ワークスペース）に関連付けられた自動的にプロビジョニングされるセキュリティグループ内で動作します。これらのリソースには表示される IP アドレスやオープンポートがなく、セキュリティグループはストリーミングゲートウェイからの Adaptive Streaming Protocol (ASP) ベースの接続を除くすべての外部トラフィックをブロックします。これは、EDS Enterprise によって提供される基本的な、不変のセキュリティレイヤーです。

デフォルトでは、セキュリティグループはクラウドコンピュータ間の通信を禁止し、侵害されたシステム間の相互感染や内部攻撃のリスクを排除します。管理者は、オフィスネットワーク内の特定のクラウドコンピュータ間で制御されたアクセスを有効にしながら、セキュリティを維持するための補足的なネットワークポリシーを実装できます。

デフォルト状態：無効
構成責任者：お客様
機能コスト：無料
依存サービス：なし
条件：
参照：オフィスネットワーク内のクラウドコンピュータ間の相互接続を有効にする

構成または使用方法

オフィスネットワーク内のクラウドコンピュータは相互に分離されています。接続を許可するには、オフィスネットワークの詳細ページで [オフィスネットワーク内のクラウドコンピュータ間の相互接続] をオンにします。

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
上部ナビゲーションバーの左上隅で、リージョンを選択します。
[オフィスネットワーク] ページで、管理するオフィスネットワークを見つけて、その ID をクリックします。
詳細ページの [ネットワーク情報] セクションで、[相互接続] をオンにします。