クラウド共通とIT全般

推奨セキュリティ対策 リモートデスクトップゲートウェイを活用しよう

投稿日:2019年5月1日 更新日:

リモートデスクトップゲートウェイ。聞きなれない言葉かもしれない。これはクラウドを利用する上で、特にインターネットに晒したくないというお客様、やっぱりセキュリティが怖い、というお客様に提案できる仕組みだ。リモートデスクトップゲートウェイ自体は、昔からある仕組みである。作り方はこちらのサイトを参考にしてほしい。

自己証明書のRD GatewayでWindowsサーバに接続

投資初心者におすすめする今後株価が伸びる企業をスクリーニングで見つける方法

この記事では私が実践している今後株価が伸びそうな企業のスクリーニング方法について記載する。私の自己紹介や投資スタンス、成績、考え方などはこちらの記事に書いてある。気になる方はぜひ最初に読んでみてほしい ...

続きを見る

 

次節でクラウドを使う上でどのようにリモードデスクトップゲートウェイが活用できるか説明する。なお、リモードデスクトップゲートウェイだと長いためリモードデスクトップゲートウェイはRDGWと記載する。

設計のポイント

社内とクラウドを結ぶ導線の中、オフィス側は大抵のポートを閉じている。閉じていない会社はセキュリティの意識が低いことを意味する。大抵はインターネットに出るアウトバウンドのポートのみ開けていて、オフィスから見たとき、インバウンドは完全閉じているはずだ。この時、例えば、オフィスの自席から直接RDPポートつまり、3389で外に出ることはありえない。これが出来たら家のパソコンにつなげることを意味してしまう。

下記の図が、基本的なRDGWの構成図だ。Azureを題材に説明するが、AWSにも活用できる。

以下が設計のポイントになる。

ポイント

  • 大事なデータを保持するクラウドのセグメントはグローバルIPを持たせせない。
  • 踏み台からのアクセスのみ可能なように接続元IPを絞り、外部からの不正アクセスリスクを非常に少なくする。
  • RDGWの踏み台セグメントはオフィスからのみのアクセスを許可する。

 

RDGWを使えば、作業用VMのみインターネットに接することになる。アプリケーションサーバ等はグローバルIPを持たせないとすれば、セキュリティの怖さは格段に低くなる。RDGWの防御を集中的に考えればよいからだ。

このポイント通りにクラウド内の設計を行うと、入り口(インバウンド)が一つに絞れるため、安全になる。出口(アウトバウンド)を指定して絞ればさらに安全になる。NSGの設定についてはこちらを参照してほしい。

4.AZURE 仮想ネットワークとネットワーク(NSG)

Azure - 仮想ネットワークとネットワーク(NSG)

仮想ネットワークは、オンプレでいうところのサーバラックとスイッチであり、ネットワークセキュリティグループがFWだ。そして仮想ネットワークは、AWSでいうところのVPCである。 目次 仮想ネットワーク( ...

続きを見る

クラウドセキュリティ 頻出プロトコルとポート

この表に出てくるプロトコル名とポートを覚えておけば、とりあえずは大丈夫。逆にいうと、これ以外はあまり使う予定はない。最初は表以外のポートは閉じておいて、必要になった際にポートを開ける、そして、接続元や接続先IPをしていすればひとまずのセキュリティは安心だ。

NO. プロトコル名/接続方法 ポート
http 80
https 443
rdp 3389
SSMS(SQL Server) 1433

まとめ

これらに加えて、IaaSサービスを利用するのであれば、SEPなどのアンチウィルスソフトをインストールし、さらに、クラウド各社が提供しているセキュリティアドバイスサービスを組み合わせれば、取り得る対策としては万全である。

ただ、覚えておいてほしい。

注意ポイント

このページに書かれている内容を実施したとしてもやはりセキュリティ対策というのは完ぺきにはならない。

セキュリティ問題が起きる前、起きている最中、起きた後の対策やフローについて日々整理し対策を整えておくことが保守運用でも大事になる。

 

おすすめ記事

1

敬愛してやまない大芸人であるコウメ太夫様が毎日実施されているツイート(#まいにちチクショー)を元に、機械学習初心者がPythonのプログラミングでデータ収集と学習を行い、コウメ太夫様っぽい文章を自動生 ...

2

正直私も最初はUdemyなんて聞いたことないし怪しいなと思いました。でも、今では実際に25講座ほど購入済みです。そんな私がUdemyの評判やお得な講座購入方法について書いていきます。   目次 Ude ...

3

先日AWSソリューションアーキテクトアソシエイト(AWS SAA)に一発で合格しました。スコアは800点台の後半でした。 世の中にはたくさんAWS SAAの合格体験記がありますが、私もこのサイトに合格 ...

4

この記事は、技術系ブログ運営の実情と運営するメリットについて詳しく書いていく。これから技術系ブログを始めたいと思っている人は、よく読んで参考にしていってください。そして、この記事を参考に技術系ブログを ...

-クラウド共通とIT全般

Copyright© CLOUD IT FUTURE , 2020 All Rights Reserved.