「AWS GameDay Partner League Japan Cup」参加レポート
kurochan
デロイト トーマツ ウェブサービス株式会社(DWS)公式ブログ
Amazon WorkSpacesでウイルス感染したとき、どうする?
shimo
AWSにはAmazon WorkSpacesというDaaSソリューションがあり、セキュアなクラウドデスクトップ環境を簡単に構築することができます。弊社でもAmazon WorkSpacesを活用した仮想デスクトップ(DaaS)の構成例の通り、Amazon WorkSpacesを利用したソリューションを提供しております。
DaaSの大きなメリットとしてセキュリティの高さがありますが、Amazon WorkSpacesを採用した場合にでも当然ながらウイルス感染のリスクは存在します。プロキシでネットワークフィルタリングを行うなどのシステムを整備することでウイルス感染を可能性をできる限り防ぐことも重要ですが、万が一ウイルス感染してしまった場合の対処をあらかじめ準備しておくことも必要です。今回はWorkSpaceがウイルス感染した場合に考えられる対処方法についてご紹介します。
まず、物理的なオフィスPCの場合、ウイルス感染した場合の対応は以下のような流れで行うことが一般的かと思います。
- まずはウイルスに感染した端末をネットワークから切り離す。
- アンチウイルスソフトなどによる駆除を行う。
すなわち一般的なオフィスの物理的な端末においてウイルス感染が判明した場合には、まずはウイルス感染の拡大を防ぐためLANケーブルを抜いたりWiFiを無効にすることで物理的にネットワークを切り離すのがセオリーです。しかしAmazon WorkSpacesでは物理的にネットワークを切り離すことができません。それではどのように対応すればよいでしょうか。
全体的な方針
- WorkSpaceにはネットワークインタフェースが2つ (プライマリネットワークインターフェイスと管理ネットワークインターフェイス) 付いています。外部通信に使用するプライマリネットワークインタフェースに紐づくセキュリティグループの設定でトラフィックを制限することで、仮想的な隔離状態を作ります。
- 上記セキュリティグループについて、アウトバウンドを完全に閉じてしまうとディレクトリコントローラを介したログオンができなくなるため、ディレクトリコントローラに向けた一部のアウトバウンドトラフィックは許可します。
- WorkSpaceへの接続自体は管理ネットワークインターフェイス経由で行われることから、プライマリネットワークインタフェースのインバウンドは閉じてかまいません。
ウイルス感染時の対処手順
全体的な方針を踏まえ、具体的なウイルス感染時の端末隔離および復旧の手順として、以下が考えられます。
- あらかじめWorkSpaceとプライマリネットワークインタフェースの対応を保持しておきます。
- ウイルスに感染したWorkSpaceをStopします。 (セキュリティグループの変更は既に張られているコネクションには適用されません。したがって、既にウイルスが外部にコネクションを張ってしまっている可能性を考え、いったんWorkSpaceを停止するのが安全です。)
- 該当WorkSpaceのプライマリネットワークインタフェースに紐づくセキュリティグループを変更します。セキュリティグループの具体的な設定については後述します。
- 該当WorkSpaceをStartします。
- 該当WorkSpaceを立ち上げてログオンし、アンチウイルスソフトウェアなどでのウイルス除去処理を行います。
- 該当WorkSpaceをStopします。
- 該当WorkSpaceのプライマリネットワークインタフェースに紐づくセキュリティグループを元に戻します。
- 該当WorkSpaceをStartします。
これで、一通りの対応が完了です。
ウイルス感染した端末のネットワークインタフェースのセキュリティグループ設定
ウイルスからの通信を全遮断するには、本来アウトバウンドは全て閉じたいところです。ただし、ディレクトリコントローラとの通信を可能としなければログオンができなくなってしまいます。
http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/admin_details.html
で記載されている通りにディレクトリコントローラのみへのアウトバウンドトラフィックを許可したセキュリティグループを設定し、ログオン可能なことを確認しました。ただ上記ページに書いてある、HTTPおよびHTTPSについては、アウトバウンドを許可しなくても問題ないようです。
すなわち、セキュリティグループのアウトバウンドの設定は以下となり、ディレクトリコントローラ以外への通信は行えない状態とします。
| タイプ | ポート | ターゲット |
|---|---|---|
| TCP | 53 | directory controllers セキュリティグループ |
| TCP | 88 | directory controllers セキュリティグループ |
| TCP | 135 | directory controllers セキュリティグループ |
| TCP | 389 | directory controllers セキュリティグループ |
| TCP | 445 | directory controllers セキュリティグループ |
| TCP | 464 | directory controllers セキュリティグループ |
| TCP | 636 | directory controllers セキュリティグループ |
| TCP | 1024 ~ 65535 | directory controllers セキュリティグループ |
| TCP | 3268 ~ 3269 | directory controllers セキュリティグループ |
| UDP | 53 | directory controllers セキュリティグループ |
| UDP | 88 | directory controllers セキュリティグループ |
| UDP | 123 | directory controllers セキュリティグループ |
| UDP | 138 | directory controllers セキュリティグループ |
| UDP | 389 | directory controllers セキュリティグループ |
| UDP | 445 | directory controllers セキュリティグループ |
| UDP | 464 | directory controllers セキュリティグループ |
| ICMP | すべて | directory controllers セキュリティグループ |
まとめ
今回は、Amazon WorkSpaceにおいて、WorkSpaceがウイルス感染した場合に取り得る手順についてまとめてみました。ただしユースケースによっては感染したWorkSpaceは破棄してしまうという手もあり、そこは運用による部分もあります。
仮想デスクトップのソリューションを検討されている方はお気軽にMMMにご相談くださいませ。
AUTHOR
