jawsdays2019_appstream20.pdf

AppStream 2.0を活用してユーザ端末に依存しない運用にしよう株式会社BeeX テクノロジーアーキテクト那須隆 JAWS DAYS 2019
/ TOC五反田メッセ

自己紹介 ◼那須隆（なすたかし） ⚫ 株式会社BeeX （ビーエックス） ⚫ SAP on
Cloudの世界でクラウド側を担当 ⚫ 兵庫県の山の方～大阪のどこかで仕事してる ⚫ Facebook : takashi.nasu.1 ⚫ Twitter : nasrinjp1 ⚫ ブログ : https://nasrinjp1.hatenablog.com/

今日お話すること 1. AppStream 2.0って何？ 2. AppStream 2.0があるときないとき 3. re:Inventで聞いてきた事例踏み台（Bastion）の運用
クライアントサーバシステムのクライアント側の運用

AppStream 2.0って知ってますか？ところで・・・

AppStream 2.0とは Amazon AppStream 2.0 は、完全マネージド型のアプリケーションストリーミングサービスです。 Windowsで動くデスクトップアプリケーションを任意のコンピュータのブラウザに配信します。（2019/2/23現在）

AppStream 2.0ざっくり説明 AppStream 2.0インスタンスが Windowsクライアントソフトを利用して EC2等で稼働しているアプリケーションに接続した画面をユーザに転送する

AppStream 2.0があるときないとき

セキュリティ特にネットワークの

AppStream 2.0がないとき ◼ インターネット経由で利用するための穴が開く ⚫踏み台があったり、VPCヒアリング等で制限していたとしても、その踏み台やVPCヒアリング環境は制限できているのか？ ⚫アクセス元が制限されていればいいけど、制限できない環境もある ⚫都度セキュリティグループ等で動的に制限するのも面倒セキュリティアクセス元からの
通信を許可

AppStream 2.0があるとき ◼ セキュリティグループで許可するのは業務関連のものだけ ⚫もう踏み台いらない ⚫AppStream 2.0はどこからでもストリーミング受信できるので、リモートワーク等で場所に縛られない人が利用するには最高の仕組み ⚫セキュリティグループで許可するのは、業務に必要な通信と AppStream
2.0インスタンスについたセキュリティグループからのみ許可すればOK セキュリティ AppStream 2.0からの通信だけを許可

ユーザ管理アプリケーション側に丸投げ？

AppStream 2.0がないとき ◼ アプリケーション側のユーザ管理の仕組みに依存 ⚫ユーザアクセス等のログがなければ不正アクセスや障害時に調査が難しい ⚫そもそもアプリケーション側のユーザは共有ユーザだったり ⚫OSレベルのログは踏み台で取っていることも多いが、アプリケーション利用のログは？ユーザ管理

AppStream 2.0があるとき ◼ AppStream 2.0でもユーザ管理 ⚫ アプリケーション側とAppStream 2.0の両方でユーザ管理することで不正アクセス等に備える ⚫
AppStream 2.0側のユーザは、各個人ごとにユーザを割り当てておいていざというときに特定できるようにしておくのがよさそう ⚫ 社内ユーザはADで社外ユーザはAppStream 2.0ユーザプールで管理 ⚫ つい最近、セッションの開始/終了時にスクリプトを実行できるようになったので、利用ログもS3に残すことができるようになった（残念ながらCloudTrail未サポート…）ユーザ管理

標準化もうバラバラは嫌だ！

AppStream 2.0がないとき ◼ ユーザごとにバージョンも設定もバラバラ ⚫端末に直接インストールするとバージョンや設定の中身がそろっている保証はない ⚫そもそもインストールしていく時点で大変… ◼ 端末固有の問題が原因になりがち ⚫端末のOSもそろっているとは限らない
⚫トラブったので調査したらその環境や端末依存の何かが原因とか標準化

AppStream 2.0があるとき ◼ 全ユーザで全く同じバージョン＆設定をオンラインで配布できる ⚫もうユーザ端末に作業する必要はない。すべてオンラインでできるので時間を有効に使える ◼ 不具合が出たとしてもAppStream 2.0側でなんとか
すれば解決できる ⚫もう端末固有の原因の障害とはお別れしましょう標準化

（まとめ）AppStream 2.0があるときセキュリティメンテナンスでインターネットからの通信を許可しなくてもいいユーザ管理 AD連携やSSOでユーザを特定社外ユーザ向けにユーザAppStream 2.0用ユーザを作成可能利用ログを残せるようになった標準化
いつでも誰でも同じバージョンや設定を提供ユーザ端末にインストール＆設定する状況からAWSで管理する環境に

re:Invent 2018 で聞いてきた事例実際に使われてるの？

SAPGUI

踏み台の代わり

ブログにAppStream 2.0ネタ書いてます AutoScalingはどうなってるの？日本語対応どうなの？本当にBastion（踏み台）として使えるの？

BeeXcited 企業の基幹システムにもっと「わくわく」を

jawsdays2019_appstream20.pdf

jawsdays2019_appstream20.pdf

Takashi Nasu

More Decks by Takashi Nasu

Other Decks in Technology

Featured

Transcript

AppStream 2.0を活用してユーザ端末に依存しない運用にしよう株式会社BeeX テクノロジーアーキテクト那須隆 JAWS DAYS 2019

自己紹介 ◼那須隆（なすたかし） ⚫ 株式会社BeeX （ビーエックス） ⚫ SAP on

今日お話すること 1. AppStream 2.0って何？ 2. AppStream 2.0があるときないとき 3. re:Inventで聞いてきた事例踏み台（Bastion）の運用

AppStream 2.0って知ってますか？ところで・・・

AppStream 2.0とは Amazon AppStream 2.0 は、完全マネージド型のアプリケーションストリーミングサービスです。 Windowsで動くデスクトップアプリケーションを任意のコンピュータのブラウザに配信します。（2019/2/23現在）

AppStream 2.0ざっくり説明 AppStream 2.0インスタンスが Windowsクライアントソフトを利用して EC2等で稼働しているアプリケーションに接続した画面をユーザに転送する

AppStream 2.0があるときないとき

セキュリティ特にネットワークの

ユーザ管理アプリケーション側に丸投げ？

AppStream 2.0があるとき ◼ AppStream 2.0でもユーザ管理 ⚫ アプリケーション側とAppStream 2.0の両方でユーザ管理することで不正アクセス等に備える ⚫

標準化もうバラバラは嫌だ！

re:Invent 2018 で聞いてきた事例実際に使われてるの？

SAPGUI

踏み台の代わり

ブログにAppStream 2.0ネタ書いてます AutoScalingはどうなってるの？日本語対応どうなの？本当にBastion（踏み台）として使えるの？

BeeXcited 企業の基幹システムにもっと「わくわく」を