リモートデスクトップゲートウェイ。聞きなれない言葉かもしれない。これはクラウドを利用する上で、特にインターネットに晒したくないというお客様、やっぱりセキュリティが怖い、というお客様に提案できる仕組みだ。リモートデスクトップゲートウェイ自体は、昔からある仕組みである。作り方はこちらのサイトを参考にしてほしい。
自己証明書のRD GatewayでWindowsサーバに接続
-
-
投資初心者におすすめする今後株価が伸びる企業をスクリーニングで見つける方法
この記事では私が実践している今後株価が伸びそうな企業のスクリーニング方法について記載する。私の自己紹介や投資スタンス、成績、考え方などはこちらの記事に書いてある。気になる方はぜひ最初に読んでみてほしい ...
続きを見る
次節でクラウドを使う上でどのようにリモードデスクトップゲートウェイが活用できるか説明する。なお、リモードデスクトップゲートウェイだと長いためリモードデスクトップゲートウェイはRDGWと記載する。
設計のポイント
社内とクラウドを結ぶ導線の中、オフィス側は大抵のポートを閉じている。閉じていない会社はセキュリティの意識が低いことを意味する。大抵はインターネットに出るアウトバウンドのポートのみ開けていて、オフィスから見たとき、インバウンドは完全閉じているはずだ。この時、例えば、オフィスの自席から直接RDPポートつまり、3389で外に出ることはありえない。これが出来たら家のパソコンにつなげることを意味してしまう。
下記の図が、基本的なRDGWの構成図だ。Azureを題材に説明するが、AWSにも活用できる。
以下が設計のポイントになる。
ポイント
- 大事なデータを保持するクラウドのセグメントはグローバルIPを持たせせない。
- 踏み台からのアクセスのみ可能なように接続元IPを絞り、外部からの不正アクセスリスクを非常に少なくする。
- RDGWの踏み台セグメントはオフィスからのみのアクセスを許可する。
RDGWを使えば、作業用VMのみインターネットに接することになる。アプリケーションサーバ等はグローバルIPを持たせないとすれば、セキュリティの怖さは格段に低くなる。RDGWの防御を集中的に考えればよいからだ。
このポイント通りにクラウド内の設計を行うと、入り口(インバウンド)が一つに絞れるため、安全になる。出口(アウトバウンド)を指定して絞ればさらに安全になる。NSGの設定についてはこちらを参照してほしい。
-
-
Azure - 仮想ネットワークとネットワーク(NSG)
仮想ネットワークは、オンプレでいうところのサーバラックとスイッチであり、ネットワークセキュリティグループがFWだ。そして仮想ネットワークは、AWSでいうところのVPCである。 目次 仮想ネットワーク( ...
続きを見る
クラウドセキュリティ 頻出プロトコルとポート
この表に出てくるプロトコル名とポートを覚えておけば、とりあえずは大丈夫。逆にいうと、これ以外はあまり使う予定はない。最初は表以外のポートは閉じておいて、必要になった際にポートを開ける、そして、接続元や接続先IPをしていすればひとまずのセキュリティは安心だ。
| NO. | プロトコル名/接続方法 | ポート |
| 1 | http | 80 |
| 2 | https | 443 |
| 3 | rdp | 3389 |
| 4 | SSMS(SQL Server) | 1433 |
まとめ
これらに加えて、IaaSサービスを利用するのであれば、SEPなどのアンチウィルスソフトをインストールし、さらに、クラウド各社が提供しているセキュリティアドバイスサービスを組み合わせれば、取り得る対策としては万全である。
ただ、覚えておいてほしい。
注意ポイント
このページに書かれている内容を実施したとしてもやはりセキュリティ対策というのは完ぺきにはならない。
