1. 텔레워크

재택근무, 텔레워크, 필수 세상이 되고 있습니다만, 여러분, 어떻게 대응되고 있습니까?

익숙한 회사의 데스크톱을 집에서 액세스할 수 있도록 하는 것이 가장 편리할까 생각합니다.
AWS를 사용한 방법을 소개합니다.

회사 네트워크가 Direct Connect 또는 VPN을 통해 AWS VPC와 연결되어 있다고 가정합니다.

사내 네트워크의 평균 통신 부하도 클라이언트 1대당 0.1~0.3Mbps 정도로 낮습니다.
제로 트러스트 네트워크도 아니고 지금 바람의 아키텍처는 아니지만 ....

2. AWS 사용법

이번에 사용한 서비스입니다.

AWS Client VPN
AWS NLB
AWS EC2(Windows Server에서 RD Gateway 서비스)를 여러 대
AWS AD Connector
AWS CloudWatch

3. 구성

RD 게이트웨이는 AZ를 구분하여 NLB로 중복합니다.
온프레미스 AD에 대해 AD Connector를 통해 연결하여 Client VPN 인증에 사용합니다.
Client VPN은 RD Gateway 또는 온프레미 DNS 서버에 대해서만 라우트를 열어 최소한의 개방을 제공합니다.
Client VPN 로그는 CloudWatch에서 확인할 수 있습니다.

4. 지키고 싶은 것

재택에서 사내의 PC에 액세스 할 수 있어, 화면 캡쳐를 막지 않는 것은 포기.
파일의 유출이나 클립보드 경유의 유출을 지키고 싶은 곳을 고집하고 싶습니다.

원격 액세스시 제어를 수행하는 것이 RD 게이트웨이입니다.
연결 승인 정책(RD CAP) 설정에서 장치 리디렉션을 사용하지 않도록 설정할 수 있습니다.

5. Client VPN에서 빠지기 쉬운 점

・AWS제의 Client 소프트는 추천하지 않습니다.
연결이 불안정합니다.
Windows라면 OpenVPN, Mac이라면 Tunnelblick이 무난합니다.

・Client VPN은, 사양 상한의 2000 동시 액세스에 언제라도 견딜 수 있는 것은 아닙니다.
사용법에 맞추어, 스케일 업 해 가는 사양이 되고 있습니다.
Client VPN 연결 수를 늘리려면 Client VPN과 연결된 AZ를 3개 이상 확보하는 것이 좋습니다.
또한 Client VPN의 서브넷은/20비트 마스크보다 더 많은 IP를 확보하는 것이 좋습니다.
/22비트 마스크라면 1024개의 주소가 확보되지만 Client VPN의 사양이라면 가용성에서 절반의 이용이 권장되므로 512 동시 접속까지 됩니다.
htps : // / cs. 아 ws. 아마존. 이 m / 그럼 _ jp / vp 응 / ㅁ st / c ぃ 엔 tvp 음 - d 민 / 음 ぁ い s. html # 우우 t - s- 미들 온 s
연결이 1개이고, 방금 세운 Client VPN이라면, 100 접속 정도로 포화합니다.
15분 정도로 스케일 업이 실행되어, 상한은 완화되지만, 급격하게는 용량은 증가하지 않습니다.

• 여러 Client VPN 인스턴스를 설치할 때 IP 주소가 겹칠 수 있습니다.
NAT로 끊어졌기 때문입니다.