リモートデスクトップゲートウェイ。聞きなれない言葉かもしれない。これはクラウドを利用する上で、特にインターネットに晒したくないというお客様、やっぱりセキュリティが怖い、というお客様に提案できる仕組みだ。リモートデスクトップゲートウェイ自体は、昔からある仕組みである。作り方はこちらのサイトを参考にしてほしい。
自己証明書のRD GatewayでWindowsサーバに接続
-
-
異動や転職を考えた時にエンジニアがするべきこと
こちらの記事で異動した時の気持ちについて書いた。今度は”スキル”という観点から異動する前にやっておいて良かったことについて書こうと思う。 私の場合は、同じ会社内の異動だけれども、この記事に書いてあ ...
続きを見る
次節でクラウドを使う上でどのようにリモードデスクトップゲートウェイが活用できるか説明する。なお、リモードデスクトップゲートウェイだと長いためリモードデスクトップゲートウェイはRDGWと記載する。
設計のポイント
社内とクラウドを結ぶ導線の中、オフィス側は大抵のポートを閉じている。閉じていない会社はセキュリティの意識が低いことを意味する。大抵はインターネットに出るアウトバウンドのポートのみ開けていて、オフィスから見たとき、インバウンドは完全閉じているはずだ。この時、例えば、オフィスの自席から直接RDPポートつまり、3389で外に出ることはありえない。これが出来たら家のパソコンにつなげることを意味してしまう。
下記の図が、基本的なRDGWの構成図だ。Azureを題材に説明するが、AWSにも活用できる。
以下が設計のポイントになる。
ポイント
- 大事なデータを保持するクラウドのセグメントはグローバルIPを持たせせない。
- 踏み台からのアクセスのみ可能なように接続元IPを絞り、外部からの不正アクセスリスクを非常に少なくする。
- RDGWの踏み台セグメントはオフィスからのみのアクセスを許可する。
RDGWを使えば、作業用VMのみインターネットに接することになる。アプリケーションサーバ等はグローバルIPを持たせないとすれば、セキュリティの怖さは格段に低くなる。RDGWの防御を集中的に考えればよいからだ。
このポイント通りにクラウド内の設計を行うと、入り口(インバウンド)が一つに絞れるため、安全になる。出口(アウトバウンド)を指定して絞ればさらに安全になる。NSGの設定についてはこちらを参照してほしい。
-
-
Azure - 仮想ネットワークとネットワーク(NSG)
仮想ネットワークは、オンプレでいうところのサーバラックとスイッチであり、ネットワークセキュリティグループがFWだ。そして仮想ネットワークは、AWSでいうところのVPCである。 目次 仮想ネットワーク( ...
続きを見る
クラウドセキュリティ 頻出プロトコルとポート
この表に出てくるプロトコル名とポートを覚えておけば、とりあえずは大丈夫。逆にいうと、これ以外はあまり使う予定はない。最初は表以外のポートは閉じておいて、必要になった際にポートを開ける、そして、接続元や接続先IPをしていすればひとまずのセキュリティは安心だ。
NO. | プロトコル名/接続方法 | ポート |
1 | http | 80 |
2 | https | 443 |
3 | rdp | 3389 |
4 | SSMS(SQL Server) | 1433 |
まとめ
これらに加えて、IaaSサービスを利用するのであれば、SEPなどのアンチウィルスソフトをインストールし、さらに、クラウド各社が提供しているセキュリティアドバイスサービスを組み合わせれば、取り得る対策としては万全である。
ただ、覚えておいてほしい。
注意ポイント
このページに書かれている内容を実施したとしてもやはりセキュリティ対策というのは完ぺきにはならない。