踏み台サーバをAppStream2.0で構築してみた

447 Views

February 21, 25

スライド概要

profile-image
スライド一覧

ウェルスナビ株式会社 技術広報チームの公式アカウントです。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 2.62MB)

関連スライド

slide-thumbnail

監視SaaSが使えなくなった話
user-img ウェルスナビ株式会社 技術広報チーム 17.8K
slide-thumbnail

Java21とSpring Boot3.2を採用して新規事業を開発した話
user-img ウェルスナビ株式会社 技術広報チーム 15.9K
slide-thumbnail

CodeBuild上でGitHub Actionsを動かしてDBマイグレーション効率化
user-img ウェルスナビ株式会社 技術広報チーム 11.2K
slide-thumbnail

WealthNavi Tech Talk vol.1_2023.11.14
tech talk
user-img ウェルスナビ株式会社 技術広報チーム 10.8K
slide-thumbnail

リアルな過去からたどり着いた事業成長を牽引するエンジニアの在り方
user-img ウェルスナビ株式会社 技術広報チーム 10.4K
slide-thumbnail

登壇用_JJUG_CCC_Fall_2023_WealthNavi
user-img ウェルスナビ株式会社 技術広報チーム 9.5K
各ページのテキスト
1.

みんな⼤好き!踏み台サーバを AppStream 2.0で構築してみた システム基盤 森祐太朗 ゆるSRE勉強会 #9 〜最近始めた取り組み共有⼤会〜 1

2.

⾃⼰紹介 森 祐太朗(Mori Yutaro) ウェルスナビ株式会社 システム基盤 ウェルスナビでは ● 2024年3⽉ ⼊社 ● 新規プロダクトに向けた環境基盤を構築中 ひとこと ● もうすぐ入社して1年を迎えます😇 2 @2024 WealthNavi Inc.

3.

資産運用ロボアドバイザー 「 WealthNavi 」 3 ※ ⼀般社団法⼈⽇本投資顧問業協会「契約資産状況(最新版)(2024年9⽉末現在) 『ラップ業務』『投資⼀任業』」を基にネット専業業者を⽐較 ウエルスアドバイザー 社調べ(2024年12⽉時点) ※ 画⾯はイメージです。

4.

これからのウェルスナビ 個⼈向け⾦融プラットフォームを⽬指す 資産運⽤からサービス領域を拡⼤してお客様をサポートできるよう、 個⼈向け⾦融プラットフォームを⽬指した取り組みを継続 ※画面はイメージ ※現時点では構想段階で未提供。 将来的に提供する可能性があるサービス領域 4

5.

アジェンダ 1. 背景 2. 実装時の要件 3. アーキテクチャの紹介 4. 仕組みの紹介 5. まとめ 5 @2024 WealthNavi Inc.

6.

1. 背景 2. 実装時の要件 3. アーキテクチャの紹介 4. 仕組みの紹介 5. まとめ 6 @2024 WealthNavi Inc.

7.

背景 CONFIDENTIAL 7

8.

いくつか課題がある。。。 CONFIDENTIAL 8

9.

1. 背景 2. 実装時の要件 3. アーキテクチャの紹介 4. 仕組みの紹介 5. まとめ 9 @2024 WealthNavi Inc.

10.

実装時の要件 ● 特定エリアからのみアクセスできる ○ 機密情報をあつかう関係上通常の執務エリアからのアクセスを禁じ、隔離されたセ キュリティエリアからのみアクセスできるようにする必要がある ● 踏み台サーバの利⽤は事前承認制にして誰が使ったか後で追えるようにする ○ 機密情報の取り扱いになるので誰がいつ使ったかを監査⽤に残す必要がある ● 作業を終えた後に機密データを踏み台サーバに残し続けない ○ 作業終了後も踏み台サーバ上に機密データを残し続けると情報漏洩につながるため 作業終了後に確実に機密データを⼿元から削除される必要がある ● 機密情報が無断で持ち出されないようにする ○ 踏み台サーバを経由して⼿元に機密情報を保存させないようにする必要がある 10 @2024 WealthNavi Inc.

11.

1. 背景 2. 実装時の要件 3. アーキテクチャの紹介 4. 仕組みの紹介 5. まとめ 11 @2024 WealthNavi Inc.

12.

アーキテクチャの紹介 @2024 WealthNavi Inc.

13.

AppStream 2.0について Amazon AppStream 2.0 Amazon Workspaces 概要 ストリーミング型のアプリ仮 フルマネージドな仮想デスク 想化サービス トップ(VDI)サービス 主な用途 (デスクトップも含めた)アプリ ケーションを配信 提供方法 セッションベースのストリーミン 永続的なデスクトップ環境 グ ストレージ 一時的 永続的 コストモデル 使用時間に応じた従量課金 月額固定料金+(従量課金)* Windows/Linux デスクトップ環境を 提供 *AutoStopの場合 13 @2024 WealthNavi Inc.

14.

PIMについて ● Privileged Identity Management(PIM)で時限つきの承認を申請する Privileged Identity Management とは? - Microsoft Entra ID Governance 14 @2024 WealthNavi Inc.

15.

1. 背景 2. 実装時の要件 3. アーキテクチャの紹介 4. 仕組みの紹介 5. まとめ 15 @2024 WealthNavi Inc.

16.

Entra ID申請 ● Entra IDの申請画⾯(申請者側) 利用したい時間帯と申請 理由を記入して承認者へ 申請をおこなう 16 @2024 WealthNavi Inc.

17.

Entra ID承認 ● Entra IDの承認画⾯(承認者側) 17 @2024 WealthNavi Inc.

18.

承認前 18 @2024 WealthNavi Inc.

19.

承認後 IdentityCenterと連携されたAppStreamア プリケーションが表示される 19 @2024 WealthNavi Inc.

20.

AppStream 2.0へログインできた! 20 @2024 WealthNavi Inc.

21.

承認されたらどこでもつかえるの? ● AppStreamへのアクセス前段 にVPCエンドポイントを設置 ● VPCエンドポイントにSecurity Groupをアタッチして特定エリ ア内のNWからのアクセスの み許可する 21 @2024 WealthNavi Inc.

22.

セキュリティエリア外から起動しようとしても失敗する 22 @2024 WealthNavi Inc.

23.

⼀定時間が経過したら⾃動で権限が剥奪される 23 @2024 WealthNavi Inc.

24.

機密情報の取得について 24 @2024 WealthNavi Inc.

25.

セッションスクリプトの仕組み ストリーミングセッションの開始前にスクリプトを実 行する - Amazon AppStream 2.0 引用元 25 @2024 WealthNavi Inc.

26.

機密情報ファイルの持ち出し制限 AppStream 2.0からローカル端末へのク リップボードコピーおよびファイルダウン ロードを制限している 26 @2024 WealthNavi Inc.

27.

外部アップローダーへ接続も制限 許可されていないサイトへアクセスしようとすると NetworkFW側でブロックする 27 @2024 WealthNavi Inc.

28.

1. 背景 2. 実装時の要件 3. アーキテクチャの紹介 4. 仕組みの紹介 5. まとめ 28 @2024 WealthNavi Inc.

29.

アーキテクチャの紹介(再掲) @2024 WealthNavi Inc.

30.

まとめ 要件 実現構成 ● 特定エリアからのみアクセス ● 利⽤は事前承認制にする ● 作業終了後に機密情報を残し続 ● VPCエンドポイントで専⽤エリア のNWからのみ許可したSGを付与 ● PIMで時限付きの特権付与を実現 ● AppStream 2.0によって終了時に けない ● デスクトップからデータはすべて 削除される ● ローカル↔踏み台サーバ間のデー タ転送を制御 ● NW Firewallでアップロード防⽌ 機密情報が無断で持ち出されな いようにする 30 @2024 WealthNavi Inc.

31.

所感 ● AppStream 2.0を使って踏み台サーバを簡単提供 ● 踏み台サーバに⼤事な情報を残し続けない🫥 ● NW通信制御やアクセス制御を考慮し、セキュアな踏 み台サーバをお渡しできたのは良い経験になった 31 @2024 WealthNavi Inc.

32.

おまけ Workspacesでも⾮永続的なデスクトップサービスが提供されています ● ほぼAppStream 2.0と同等のことができる ○ 構築中の頃はイメージのカスタムができませんでしたが今はできるようになっ てるので、デスクトップのSaaSをやりたいならこちらもで⼤丈夫そう🤔 Amazon WorkSpaces プール: 費用対効 果の高い非永続的な仮想デスクトップ 32 @2024 WealthNavi Inc.

33.

Appendix 1 定期的にWealthNaviの開発(技術‧組織)に関する情報を発信しています。 開発者ブログ ● 技術広報に関する お問い合わせ先 ● https://zenn.dev/p/wn_engineering ブックマーク追加や記事への「いいね」していただけると嬉しいです ウェルスナビ 技術広報チーム([email protected]) 今回のLTを基にしたブログ記事 https://zenn.dev/wn_engineering/articles /appstream-operation-for-marketing 33 @2024 WealthNavi Inc.

34.

Appendix 2 ウェルスナビでは複数の開発系ポジションで採⽤を強化しています。 主な採⽤中職種 ● ● ● ● ● モバイル開発エンジニア エンジニアリングマネージャー バックエンド開発エンジニア QAエンジニア データエンジニア 採⽤情報詳細 ● 下記URL(QRコード)よりご確認ください。 https://recruit.wealthnavi.com/ 採⽤に関する お問い合わせ先 ● ● 「カジュアルに話を聞いてみたい」という温度感でも構いません。 ウェルスナビ採⽤チーム([email protected])までご連 絡お待ちしております。 34 @2024 WealthNavi Inc.

35.

【重要な注意事項】 ● 本資料は、断定的判断を提供するものではなく、情報を提供することのみを⽬的としており、いか なる種類の商品も勧誘するものではありません。最終的な決定は、お客様⾃⾝で判断するものと し、当社はこれに⼀切関与せず、また、⼀切の責任を負いません。 ● 本資料には将来の出来事に関する予想が含まれている場合がありますが、それらは予想であり、ま た、本資料の内容の正確性、信頼性、完全性、適時性等を⼀切保証するものではありません。本資 料に基づいて被ったいかなる損害についても、当社は⼀切の責任を負いません。また、当社は、新 しい情報や将来の出来事その他の情報について、更新⼜は訂正する義務を負いません。 ● 本資料を利⽤することによりお客様に⽣じた直接的損害、間接的損害、派⽣的損害その他いかなる 損害についても、当社は⼀切の責任を負いません。 商号等:ウェルスナビ株式会社 金融商品取引業者 関東財務局長(金商) 第2884号 加入協会:日本証券業協会 一般社団法人日本投資顧問業協会 35 @2024 WealthNavi Inc.

36.

ご清聴ありがとうございました 36 @2024 WealthNavi Inc.