#はじめに
ある開発案件にて定められたセキュリティ要件をクリアするために、情報漏洩を防止する目的でAWSのworkspacesを使用して開発担当者のオペレーション可能な範囲を限定した環境を作成した。
その作業工程とポイントをまとめます。
#達成要件
今回達成すべき要件としては以下5点であった。
- workspacesの環境はウィルス対策ソフト(ウィルスバスター)が備えられていること(Windows10相当のOS環境を前提)
- workspacesからのインターネットへのアクセスを必要最低限のみ許可する
- workspacesからインターネットアクセスしたログを一定期間保存する
- workspacesとローカルPC間について、コピーペスト等を ローカルPC→workspacesへの一方通行とする(=送り込めるが持ってこれない)
- workspacesへ接続できる環境(PC)を限定する
#各要件の達成方法の想定
1 . workspacesの環境はウィルス対策ソフト(ウィルスバスター)が備えられていること(Windows10相当のOS環境を前提)
これは単純で、ウイルスバスターが同梱されているworkspacesを生成すれば良い。
2 . workspacesからのインターネットへのアクセスを必要最低限のみ許可する
これはVPCからインターネットへのアクセス経路をプロキシ経由に限定し、プロキシのホワイトリストで管理する。
3 . workspacesからインターネットアクセスしたログを一定期間保存する
上記2の対応で使用するプロキシのログをS3等に保存することで対応する。
4 . workspacesとローカルPC間について、コピーペスト等を ローカルPC→workspacesへの一方通行とする(=送り込めるが持ってこれない)
workspacesにはそんな機能は無い。
調べた結果、ActiveDirectory管理でグループポリシーを使用すれば対応できる模様。
仕方がないので、workspacesのディレクトリでSimpleAD管理をし、EC2でAD管理用のインスタンスを立ち上げることとする。
5 . workspacesへ接続できる環境(PC)を限定する
これはworkspacesのアクセス制御で証明書を使用することで対応できる。
#システム構成図
各要件の達成方法をベースにシステム構成図をまとめた。
(一部表現が正しくないかも)
外部とのネットワークアクセス制御はセキュリティグループおよびVPCのルートテーブルで解決する。
具体的な手順や設定内容は次回の記事から記載します。