社内ネットワークをAmazon VPCと統合したい

f:id:RommeI:20200424104515p:plain こんにちは、ペンティオ株式会社 IDaaS事業部担当の井町です.

今回はAmazon WorkSpacesを既に利用しているユーザーを対象に,Amazon VPCと社内ネットワークをVPN接続する方法をご紹介します.

f:id:RommeI:20200424122004p:plain
概要図

※社内ネットワークを介してインターネットに接続するためには別途サブネットのルーティング設定が必要となります

準備するもの

  • Amazon VPCに対応しているVPNルータ

  • VPNルータの管理者権限

  • 管理者権限のあるAWSユーザーアカウント

手順

AWS側の設定(VPC)

AWSコンソールからVPCダッシュボードを開き,[カスタマーゲートウェイ]タブを開いて[カスタマーゲートウェイの作成]をします.ルーティングは[静的],IPアドレスには社内ネットワークのグローバルIPアドレスを入力してください.

f:id:RommeI:20200410154028p:plain
カスタマーゲートウェイの作成

続いて,[仮想プライベートゲートウェイ]タブを開き,[仮想プライベートゲートウェイの作成]をします.

f:id:RommeI:20200410154358p:plain
仮想プライベートゲートウェイの作成

作成した仮想プライベートゲートウェイを選択した状態で[アクション]メニューを開いて[VPCにアタッチ]でWorkSpacesをローンチするVPCにアタッチします.

[サイト間のVPN接続]タブから,[VPN接続の作成]をします.このとき,Target Gateway TypeにはVirtual Private Gatewayを選択して,作成したゲートウェイを選択します.

f:id:RommeI:20200410154819p:plain
VPN接続の作成

AWS側の設定(IAM)

次はVPC設定を読み込むための準備をします.

AWSコンソールからIAMダッシュボードを開き,[ユーザー]タブからユーザーを追加します.

f:id:RommeI:20200410155618p:plain
IAMユーザーの追加

適当なユーザー名を決め,アクセスの種類は[プログラムによるアクセス]を選択します.

次のステップで作成したユーザーにポリシーを割り当てるのですが,[グループの作成]から[AmazonVPCReadOnlyAccess]を含むグループを作成し,ユーザーをそのグループに追加します.

f:id:RommeI:20200410160336p:plain
ユーザーにポリシーを割り当てる

ユーザーの追加が成功すると認証情報がダウンロードできるので[.csvのダウンロード]でダウンロードします.

f:id:RommeI:20200410160719p:plain
セキュリティ認証情報のダウンロード

以上でAWS側の設定は終了です.

VPNルータ側の設定

最後に,VPNルータの設定画面を開き,クラウド接続VPNの設定を作成します.

(メーカーによって設定方法が異なります)

サービス種別でAmazon VPCを選択し,先ほどダウンロードした認証情報(アクセスキーID,シークレットアクセスキー)とVPN ID(AWS上で確認できます)を入力します.

設定が完了しVPN接続が確立されたことを確認したら完了です!

リモートワークに消極的になってしまう理由

コロナウイルスをきっかけにリモートワークを推進している会社が増えていますが,積極的な姿勢でリモートワークを導入している会社もあれば,そうでない会社もあるようです.

リモートワークに対して消極的になってしまう理由を(感情論を除いて)いくつか考えて挙げてみました.

  • 個人の自宅のネットワークで作業させる際のセキュリティに不安がある
  • 自宅作業する社員全員分のPCが用意できない
  • 社外にあるPCを紛失・盗難される事による情報漏洩リスク
  • ハードウェアトラブルが生じたときの対応
  • オンプレミスのADで社員を管理している場合,認証ができない
  • 社内ストレージの共有ができない
  • 社外ネットワークからクラウドサービスにアクセスするとIP制限に引っかかる
  • 怠けるかもしれない

このような問題点を解消する方法はいくつか考えられます.

1つは,Amazon WorkSpacesなどのVDI(仮想デスクトップ)環境を利用することです.

VDIでは,データセンターやクラウド上で社員全員のマシンを動かし,ユーザーはネットワーク経由で転送された画面を通してデスクトップを利用します.このようにして社員のマシンの実体を集約することで社員への作業環境の割り当てやセットアップ,管理がしやすくなります.他にも,ハードウェアトラブルの心配がないことや,会社PCの紛失・盗難などによる情報漏洩リスクもないという大きなメリットがあります.

2つ目の方法としてVPN接続があります.

VPN(Virtual Private Network)により,離れた拠点同士のネットワークを統合して社内のプライベートネットワークを拡張することができます.なので,社員のマシンがつながっているネットワークと社内をVPN接続することで社内ストレージの共有が可能となりますし,ドメイン参加しているマシンとのAD認証が可能となります.

また,OneLoginなどにはアクセスできるIPアドレスを制限できるアクセスコントロール機能がありますが,セキュリティが向上する反面,当然ながら外部のネットワークからはアクセスできないという問題があります.ですが,VPNを構築することで,社内ネットワークに接続されたネットワークからアクセスしてもIP制限を受けず,サービスを利用することができます.

おわりに

  振り返ってみると結構な分量になってしまいました.ですが,社内ネットワークからのインターネット接続やオンプレミスADとの連携を実現するにはまだやらなくてはいけないことが残ってます. この辺に関しては後日改めて紹介したいと思います.

それでは〜〜