AWS workspaces를 사용하여 개발 담당자의 정보 유출을 방지하는 가치가치 개발 환경 만들기(서문)

소개



한 개발 안건에서 정한 보안 요건을 클리어하기 위해 정보 유출을 방지할 목적으로 AWS의 workspaces를 사용하여 개발 담당자의 운영 가능한 범위를 한정한 환경을 만들었다.
그 작업 공정과 포인트를 정리합니다.

달성 요건



이번 달성해야 할 요건으로는 이하 5점이었다.
1. workspaces의 환경은 바이러스 대책 소프트(바이러스 버스터)가 갖추어져 있는 것(Windows10 상당의 OS 환경을 전제)
2. workspaces에서 인터넷에 액세스할 필요 최소한만 허용
3. workspaces에서 인터넷 액세스한 로그를 일정 기간 저장
4. workspaces와 로컬 PC간에 대해서, 카피 페스트등을 로컬 PC→workspaces에의 일방통행으로 한다(=송신할 수 있지만 가지고 이것 없다)
5. workspaces에 접속할 수 있는 환경(PC)을 한정한다

각 요건을 달성하는 방법의 가정



1. workspaces의 환경은 바이러스 대책 소프트(바이러스 버스터)가 갖추어져 있는 것(Windows10 상당의 OS 환경을 전제)

이것은 간단하고, 바이러스 버스터가 동봉되고 있는 workspaces를 생성하면 된다.

2 . workspaces에서 인터넷에 액세스할 필요 최소한만 허용

이것은 VPC로부터 인터넷에의 액세스 경로를 프록시 경유로 한정해, 프록시의 화이트 리스트로 관리한다.

3. workspaces에서 인터넷 액세스한 로그를 일정 기간 저장

상기 2의 대응으로 사용하는 프록시의 로그를 S3 등에 보존함으로써 대응한다.

4 . workspaces와 로컬 PC간에 대해서, 카피 페스트등을 로컬 PC→workspaces에의 일방통행으로 한다(=송신할 수 있지만 가지고 이것 없다)

workspaces에는 그런 기능은 없다.
조사한 결과 ActiveDirectory 관리에서 그룹 정책을 사용하면 대응할 수 있는 모양.
어쩔 수 없기 때문에, workspaces의 디렉토리에서 SimpleAD 관리를 하고, EC2에서 AD 관리용의 인스턴스를 시작하는 것으로 한다.

5 . workspaces에 접속할 수 있는 환경(PC)을 한정한다

이것은 workspaces 접근 통제에서 증명서를 사용해서 대응할 수 있다.

시스템 구성도



각 요구 사항을 달성하는 방법을 기반으로 시스템 블록 다이어그램을 요약했습니다.
(일부 표현이 올바르지 않을지도)


외부와의 네트워크 액세스 제어는 보안 그룹 및 VPC의 라우팅 테이블에서 해결한다.

구체적인 순서나 설정 내용은 다음의 기사로부터 기재합니다.

좋은 웹페이지 즐겨찾기