1. テレワーク
在宅勤務、テレワーク、必須な世の中になってきていますが、みなさん、どのように対応されていますか?
使い慣れた会社のデスクトップを、家からアクセスできるようにするのが一番便利かと思います。
AWSを使った、その方法について紹介します。
社内ネットワークがDirect ConnectやVPNでAWSのVPCと接続されているのが前提となります。
社内ネットワークの平均通信負荷もクライアント1台あたり0.1〜0.3Mbps程度で低めです。
ゼロトラストネットワークでもなく、今風のアーキテクチャではないですが...。
2. AWSの利用法
今回、使ったサービスです。
・AWS Client VPN
・AWS NLB
・AWS EC2(Windows Serverで、RD Gatewayサービス)を複数台
・AWS AD Connector
・AWS CloudWatch
3. 構成
RD Gatewayは、AZを分けて、NLBで冗長化しています。
オンプレミスのADに対して、AD Connectorで接続して、Client VPNの認証用に使っています。
Client VPNでは、RD GatewayやオンプレのDNSサーバーに対してのみ経路を開くことで、最小限の開放としています。
Client VPNのログは、CloudWatchで確認できます。
4. 守りたいもの
在宅で社内のPCにアクセスできるとして、画面キャプチャを防げないのはあきらめ。
ファイルの流出やクリップボード経由の流出を守りたいところにこだわりたいです。
リモートアクセス時のその制御を行うのが、RD Gatewayです。
接続承認ポリシー(RD CAP)の設定で、デバイス リダイレクトを無効にすることで、実現できます。
5. Client VPNでハマりやすい点
・AWS製のClientソフトはおすすめしません。
接続が不安定です。
WindowsならOpenVPN、MacならTunnelblickが無難です。
・Client VPNは、仕様上限の2000同時アクセスにいつでも耐えられるわけではないです。
使い方に合わせて、スケールアップしていく仕様となっています。
Client VPNの接続数を多く確保するためには、Client VPNに関連付けしているAZを3つ以上確保することをおすすめします。
また、Client VPNのサブネットは、/20 ビットマスクより多くのIPを確保することをおすすめします。
/22 ビットマスクだと、1024個のアドレスが確保されますが、Client VPNの仕様だと可用性から半分の利用が推奨されているので、512同時接続までとなります。
https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/what-is.html#what-is-limitations
関連付けが1つで、立てたばっかりのClient VPNだと、100接続程度で飽和します。
15分程度でスケールアップが実行されて、上限は緩和されますが、急激にはキャパシティは増えません。
・複数のClient VPNインスタンスを設ける際、IPアドレスは重なっても構いません。
NATで切れているためです。