Elastic Desktop Service (EDS) Enterprise は、ユーザーのネットワークアクセス用にパブリック帯域幅を提供し、セキュリティ対策を用いてクラウドデスクトップを外部および内部の脅威から保護します。ネットワークの動作を管理しやすくするため、EDS Enterprise はセキュリティグループとドメイン名コントロールポリシーを提供し、ユーザーのネットワークアクセスを制御します。
01 ネットワークアクセス
1.1 セキュリティグループポリシー
Elastic Desktop Service (EDS) Enterprise は、管理者が組織内のクラウドデスクトップのネットワークアクセス権限を管理するためのセキュリティグループコントロールポリシーを提供します。セキュリティグループコントロールポリシーは、一連のセキュリティグループルールで構成されます。Elastic Compute Service のセキュリティグループルールと同様に、ルールの方向 (インバウンドまたはアウトバウンド)、アクション (許可または拒否)、優先度、プロトコルタイプ、ポート範囲、権限付与オブジェクト (IP アドレスまたは CIDR ブロック)、および説明を設定できます。異なる範囲と優先度を持つルールを組み合わせることで、管理者はホワイトリスト方式を実装し、指定されたソースからのアクセスのみを許可できます。
インバウンドまたはアウトバウンドのセキュリティグループコントロールルールを追加して、クラウドデスクトップのトラフィックをさらに制御できます。以下は、セキュリティグループコントロールルールの設定例です:
シナリオ 1
デフォルトでは、クラウドデスクトップからのすべてのアウトバウンドアクセスが許可されています。特定のアドレスへのアクセスのみを許可するには、次のアウトバウンドルールを追加します:
ルール 1:すべてのアウトバウンドアクセスを拒否します。例:
方向
ポリシー
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
アウトバウンド
拒否
2
すべて
-1/-1
0.0.0.0/0
ルール 2:特定の IP アドレスへのアクセスを許可します。このルールの優先度は、ルール 1 よりも高くする必要があります。例:
方向
ポリシー
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
アウトバウンド
許可
1
該当するプロトコルタイプを選択します。
適切なポート範囲を設定します。
アクセスを許可する IP アドレス。例:192.168.1.1/32。
シナリオ 2
VPC 環境では、インバウンドルールを追加して、特定の IP アドレスからクラウドデスクトップへのアクセスを許可できます。例:
方向 | ポリシー | 優先度 | プロトコルタイプ | ポート範囲 | 権限付与オブジェクト |
インバウンド | 許可 | 1 | 該当するプロトコルタイプを選択します。 | 適切なポート範囲を設定します。 | アクセスを許可する IP アドレス。例:192.168.1.1/32。 |
シナリオ 3
クラウドデスクトップ A がポリシー A に、クラウドデスクトップ B がポリシー B に関連付けられているとします。VPC 環境では、デフォルトですべてのインバウンドアクセスが拒否されるため、クラウドデスクトップ A とクラウドデスクトップ B は互いに通信できません。ポリシー A とポリシー B に次のインバウンドルールを追加して、それらの間のネットワーク通信を有効にできます:
ポリシー A で、クラウドデスクトップ B からのアクセスを許可するインバウンドルールを追加します。例:
方向
ポリシー
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
インバウンド
許可
1
該当するプロトコルタイプを選択します。
適切なポート範囲を設定します。
クラウドデスクトップ B の IP アドレス。
ポリシー B で、クラウドデスクトップ A からのアクセスを許可するインバウンドルールを追加します。例:
方向
ポリシー
優先度
プロトコルタイプ
ポート範囲
権限付与オブジェクト
インバウンド
許可
1
該当するプロトコルタイプを選択します。
適切なポート範囲を設定します。
クラウドデスクトップ A の IP アドレス。
|
1.2 ドメイン名コントロール
Elastic Desktop Service (EDS) Enterprise は、管理者がドメイン名レベルでクラウドデスクトップのネットワークアクセスを管理できるドメイン名コントロールポリシーを提供します。セキュリティグループコントロールポリシーとは異なり、ドメイン名コントロールは DNS ルールを使用してドメイン名によるアクセスを管理します。各ルールについて、ドメイン名とアクション (許可または拒否) を設定します。この機能はワイルドカード (*) もサポートしており、特定のウェブサイトやサービスへのアクセス管理プロセスを大幅に簡素化します。
たとえば、次の表に記載されているドメインに対してきめ細かなアクセス制御を実装するには、DNS ルールを以下のように設定します。
ドメイン | 例 | アクセスポリシー | 説明 |
セカンドレベルドメイン |
| 許可 | クラウドデスクトップが |
サードレベルドメイン |
| 拒否 | クラウドデスクトップが |
| 許可 | クラウドデスクトップが | |
フォースレベルドメイン |
| 拒否 | クラウドデスクトップが |
| 許可 | クラウドデスクトップが | |
| 許可 |
|
02 ネットワーク境界
2.1 オフィスネットワークの相互通信
クラウドデスクトップは、オフィスネットワーク (旧ワークスペース) とともに自動的に作成されるセキュリティグループ内で実行されます。これらにはパブリック IP アドレスやオープンポートはありません。セキュリティグループは、ストリーミングゲートウェイからの ASP プロトコル接続を除くすべての外部トラフィックをブロックします。この設計により、外部ネットワーク攻撃がクラウドデスクトップに到達できないことが保証されます。この Elastic Desktop Service (EDS) Enterprise の基本的なセキュリティメカニズムは変更できません。
デフォルトでは、セキュリティグループはクラウドデスクトップ間の通信も防止します。これにより、悪意のあるユーザーが他のクラウドデスクトップを攻撃したり、侵害されたクラウドデスクトップが内部ネットワーク上の他のデスクトップに感染したりするのを防ぎます。管理者は、ビジネスニーズに基づいて オフィスネットワーク 内のクラウドデスクトップ間のネットワークアクセスを有効にできます。このアクセスを有効にする場合は、追加のネットワークコントロールポリシーを使用して、関連するセキュリティリスクを軽減できます。
|