476-AWS SAP AWS 「理論・実践・一問道場」AD Connector
理論
この問題に関連する汎用的な知識を簡潔にまとめます。
1. AWS Client VPN
AWS Client VPN は、ユーザーがインターネット経由で AWS の仮想プライベートクラウド(VPC)内のリソースにセキュアにアクセスできるようにする、フルマネージドなリモートアクセス VPN サービスです。これにより、リモートワークのユーザーが安全に企業のネットワークにアクセスすることができます。
- 特徴:
- 多要素認証(MFA):AWS Client VPN は MFA をサポートしており、追加のセキュリティ層を提供します。
- AD DSとの統合:Active Directory Domain Services(AD DS)と統合することで、ユーザーの認証と権限管理を一元化できます。
- スケーラビリティ:必要に応じて自動的にスケールするため、大規模なリモートアクセス環境でも問題なく利用可能です。
2. AD Connector
AD Connector は、AWS のサービスと企業の Active Directory(AD DS) を接続するためのディレクトリサービスです。これにより、AWS リソース(例えば、AWS Client VPN、Amazon WorkSpaces など)で AD DS の認証情報を利用することができます。
- 特徴:
- 本番環境向け:オンプレミスの AD DS をそのまま利用することができ、完全に移行せずにクラウド環境と統合できます。
- スムーズな統合:AWS 内のリソース(EC2、RDS、WorkSpaces など)と既存の AD DS を簡単に統合できます。
3. AWS VPN
- Site-to-Site VPN:AWS とオンプレミスのネットワーク間で直接接続するための VPN 接続です。主に、AWS の VPC と企業のデータセンターなどとの間でセキュアな通信を確立する際に使用します。
- Client VPN:リモートユーザーがインターネットを通じて AWS リソースにアクセスするための VPN です。AWS クラウドへのリモートアクセス用に最適化されています。
4. 多要素認証(MFA)
MFA は、ユーザーが VPN などのサービスにアクセスする際に、2つ以上の認証要素を要求するセキュリティ手法です。例えば、パスワードに加えて、モバイルデバイスやハードウェアトークンから生成されるワンタイムパスワード(OTP)などを使用します。
- 利点:
- セキュリティ向上:MFA は単純なパスワードだけではアクセスできないようにするため、セキュリティが強化されます。
- AWSサポート:AWSではMFAを複数のサービスに対応させることができ、特にAWS Client VPNやAWS Management Consoleでのアクセス制御に利用されます。
まとめ
- AWS Client VPN を使うことで、リモートワーカーがインターネット経由で AWS の VPC 内のサービスに安全にアクセスできます。
- AD Connector は、AWS 上のリソースとオンプレミスの Active Directory を統合し、ユーザー認証を一元化するために使われます。
- MFA を使うことで、VPN へのアクセスを多層的に保護できます。
実践
略
一問道場
質問 #476
あるソフトウェア開発会社には、リモートで作業している複数のエンジニアがいます。会社はAmazon EC2インスタンス上でActive Directory Domain Services(AD DS)を実行しています。会社のセキュリティポリシーでは、VPC内にデプロイされるすべての内部・非公開サービスはVPNを介してアクセス可能でなければならず、VPNへのアクセスには多要素認証(MFA)を使用する必要があります。
これらの要件を満たすために、ソリューションアーキテクトは何をすべきですか?
A.
AWS Site-to-Site VPN接続を作成し、VPNとAD DSの統合を設定します。MFAサポートが有効なAmazon WorkSpacesクライアントを使用してVPN接続を確立します。
B.
AWS Client VPNエンドポイントを作成し、AD DSと統合するためにAD Connectorディレクトリを作成します。AD ConnectorにMFAを有効にし、AWS Client VPNを使用してVPN接続を確立します。
C.
複数のAWS Site-to-Site VPN接続を作成し、AWS VPN CloudHubを使用して統合を設定します。AWS VPN CloudHubとAD DSの統合を構成し、AWS Copilotを使用してVPN接続を確立します。
D.
Amazon WorkLinkエンドポイントを作成し、Amazon WorkLinkとAD DSの統合を設定します。Amazon WorkLinkでMFAを有効にし、AWS Client VPNを使用してVPN接続を確立します。
解説
この問題では、リモートワークのエンジニアが安全にAWS上の内部サービスにアクセスできるように、VPN接続を確立し、その接続には多要素認証(MFA)を使用する必要があります。解決策として最も適切な方法を選ぶ問題です。
問題の背景
- 会社にはリモートワークをしている複数のエンジニアがいます。
- 会社はAWSで Active Directory Domain Services (AD DS) を運用しており、そのサービスを使って内部の認証を行っています。
- すべての内部サービスに対するアクセスはVPN経由で行う必要があります。
- VPN接続に対して 多要素認証(MFA) を有効にする必要があります。
解答選択肢の分析
A. AWS Site-to-Site VPN 接続を作成し、VPNとAD DSを統合します。
- Amazon WorkSpaces クライアントを使用してMFAを有効にし、VPN接続を確立する方法です。
- Site-to-Site VPN は通常、オンプレミスとAWS間で使用されるもので、リモートワークには向いていません。
- WorkSpacesクライアント はデスクトップ仮想化サービスですが、リモートVPN接続には適していません。
B. AWS Client VPN エンドポイントを作成し、AD DSと統合します。
- AWS Client VPN はリモートアクセスVPNを提供するAWSのサービスで、ユーザーがインターネット経由でAWS VPC内のリソースにアクセスできるようにします。
- AD Connector を使って、AWS Client VPNとAD DSを統合する方法です。
- MFAを有効化でき、セキュリティ要件に合致しています。
- 最も適切な選択肢です。
C. 複数のAWS Site-to-Site VPN接続を作成し、AWS VPN CloudHubを使って統合します。
- これはSite-to-Site VPN を複数作成し、VPN CloudHub を使って接続する方法です。
- Site-to-Site VPNはリモートアクセス向けではなく、企業間接続に使用されることが多いため、リモートワークのエンジニアに対する接続方法としては不適切です。
D. Amazon WorkLink エンドポイントを作成し、AD DSとの統合を設定します。
- Amazon WorkLink はモバイルデバイス向けのサービスで、ウェブアプリケーションにセキュアにアクセスするためのもので、VPNの代替にはなりません。
- この選択肢もリモートワークのVPN接続には適していません。
最適な解決策
B. AWS Client VPN エンドポイントを作成し、AD DSと統合します。
- AWS Client VPN はリモートアクセス向けであり、AD DSとの統合を簡単に実現できます。
- MFAを有効化することも可能で、セキュリティ要件を満たします。
- 最も効率的かつセキュアな解決策です。
結論
選択肢 B は、リモートワークエンジニアのアクセス要件を満たし、MFAとAD DS統合を適切にサポートするため、最も適切な解決策です。
- Author:minami
- URL:https://www.minami.ac.cn/private-license/17cd7ae8-88e2-8076-b7e5-d469a4accc13
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
