Amazon Web Services ブログ

Category: Amazon WorkSpaces*

[AWS Black Belt Online Seminar] 働き方改革を実現する AWS のエンドユーザーコンピューティングサービス 資料及びQA公開

こんにちは、ソリューションアーキテクトの上原です。 先日(2018/3/06)開催致しました AWS Black Belt Online Seminar 「 働き方改革を実現する AWS のエンドユーザーコンピューティングサービス」の資料を公開いたしました。当日参加者の皆様から頂いた QA の回答と併せてご紹介致します。

Read More

2018年3月のAWS Black Belt オンラインセミナーのご案内

こんにちは。ソリューションアーキテクトの石井です。2018 年 3 月の AWS Black Belt オンラインセミナーの配信についてご案内をさせて頂きます。 2018 年 3 月の BlackBelt セミナーでは、ソリューションカットとして、働き方改革を実現するための AWS の VDI やオンラインミーティングサービス、Well-Architected Framework を活用したコスト最適化、データウェアハウスの AWS クラウドへの移行方法、AWS IoT でのデバイス管理・運用をする際に検討すべきポイント、などをご紹介します。 サービスカットでは、機械学習モデルの開発・学習・推論を素早く簡単に行うための Amazon SageMaker、ストレージとコンピューティング機能を備えた 100TB のデータ転送デバイス AWS Snowball Edge、動画ストリーミングを低遅延で分析処理に配信するための Amazon Kinesis Video Streams など、盛り沢山でお送りします。 なお、2018 年 3 月の BlackBelt セミナーは通常の火・水以外の変則的な開催日もございますのでご注意下さい。 3 月の開催予定 ソリューションカット 3/6(火)12:00-13:00 働き方改革を実現する AWS のエンドユーザーコンピューティングサービス 3/13(火)12:00-13:00 Well-Architected Framework によるコスト最適化 3/19(月)12:00-13:00 […]

Read More

Azure MFAサーバーを使用したAmazon WorkSpacesの多要素認証(Multi-Factor Authentication)

EUC Specialized SAの渡邉(@gentaw0)です。Amazon WorkSpaces は、AWS で稼働するマネージド型でセキュアな DaaS (Desktop-as-a-Service) ソリューションです。Amazon WorkSpaces を使用すると、仮想的な、クラウドベースの Microsoft Windows デスクトップを簡単にプロビジョニングし、ユーザーは必要なドキュメント、アプリケーション、リソースにサポートされている任意のデバイスから、いつでもどこでもアクセスできるようになります。Amazon WorkSpacesでは多要素認証(Multi-Factor Authentication)をサポートしており、オンプレミスまたはクラウド上のRADIUSサーバーと連携することにより認証のセキュリティを強化することが可能です。 多要素認証(MFA)とは、本人確認(認証)する方法として複数の手段を使う事です。認証にパスワードを使用する事が多いかと思いますが、これは本人だけが知っているはずの情報を確認して、認証を行います。MFA を使用する場合は、このパスワードに加えてトークン等が生成するワンタイムパスワード(OTP)も確認する事で、本人しか持っていないはずのトークン(物)も持っている事を確認して認証できます。 Amazon WorkSpaces での認証は、フルマネージド型のディレクトリサービスであるMicrosoft AD、または既存の Active Directory で認証するための AD Connector を選択することができます。お客様は MFA で使用するワンタイムパスワードを認証できる RADIUS サーバーを別途用意する必要があります。RADIUS サーバーはオンプレミスにあっても、AWS 上にあっても構いません。RADIUSに対応しているものであればさまざまな製品を利用することが可能ですが、このブログ記事ではそのなかでもAzure Multi-Factor Authenticationサーバーを使用してAmazon WorkSpacesのMFAを構成する方法について解説します。 ディレクトリの構成 まず、MFAを有効にするためのディレクトリを作成します。現在のところ、以下のタイプのディレクトリでMFAを構成することが可能です。Simple ADはMFAに対応していないため、このシナリオでは利用することはできません。 AD Connector Microsoft AD オンプレミスまたはVPC上にすでにActive Directoryドメインを展開する場合は、AD Connectorを使用します。VPC上に独立したActive Directoryドメインを作成する、またはオンプレミスのActive Directoryドメインと信頼関係を結ぶ場合はMicrosoft ADを使用します。AD Connectorの作成方法については、こちら(https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/create_ad_connector.html)、Microsoft ADの作成方法についてはこちら(https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/create_managed_ad.html)のドキュメントを参照してください。ディレクトリの作成が完了したら、AWSマネージメントコンソールからAD ConnectorもしくはMicrosoft ADのIPアドレスを確認しておきます。  Azure […]

Read More

プロセッサの投機的実行 – オペレーティングシステムの更新

モダンコンピュータプロセッサ上で投機的実行によるサイドチャネル分析の調査が新しく公開されたのを受け、AWS は AWS Security Bulletin(セキュリティ情報)AWS-2018-013 を先日公開しました。このセキュリティ情報では、CVE-2017-5715、CVE-2017-5753、および CVE-2017-5754 の3つのセキュリティ勧告に触れています。これらの勧告は Google Project Zero の調査に基づいたもので、Google Project Zero の発表はモダンコンピュータプロセッサ上でのサイドチャネル分析の新しい方法を発見したというものでした。これらの方法は、基礎的な技術、具体的には投機的実行に着目したもので、投機的実行は多くのベンダーのプロセッサに用いられています。そのため研究結果の対象となる範囲は幅広く、その範囲はハイパーバイザーからオペレーティングシステム、さらには Web ブラウザ、携帯電話からクラウドを構成するデータセンター内のサーバにまで及びます。   EC2 インスタンスの分離   Amazon EC2 のすべてのインスタンスは、上述の CVE に記載されたインスタンス間の既知の問題すべてから保護されています。インスタンス間での問題は、インスタンスまたは AWS ハイパーバイザーのメモリを近隣の別のインスタンスから読み取ることができると想定しています。この問題は AWS ハイパーバイザーでは解決されており、インスタンスは別のインスタンスのメモリを読み取ることも、AWS ハイパーバイザーのメモリを読み取ることもできません。 大多数の EC2 ワークロードに有意なパフォーマンスの影響は見られていません。   オペレーティングシステムへのパッチ   現代のオペレーティングシステムには、「ユーザー空間」プロセスからのカーネル分離、それぞれのプロセスの分離などの、いくつかのタイプのプロセス分離があります。影響を受けうるプロセッサ上でオペレーティングシステムが実行されている環境では、いかなる設定においても、公開された 3 つの問題すべてがプロセス分離に影響を与える可能性があります。ハイパーバイザで実装されている保護は、オペレーティングシステム内のプロセスレベルの分離にまで拡張されないため、リスクを軽減するためにオペレーティングシステムパッチが必要です。 準仮想化(PV)インスタンスでは、CVE-2017-5754 のプロセス間の問題に対処するためのオペレーティングシステムレベルの保護は無いことに注意してください。PV インスタンスは、前述のようにインスタンス間の問題について AWS ハイパーバイザーによって保護されます。しかしながら、PV インスタンスにおけるプロセスの分離(信頼できないデータ処理やコードの実行、ユーザのホスト)にご懸念をお持ちでしたら、長期的に見てセキュリティの恩恵を受けるため、HVM インスタンスタイプへの変更を強くお勧めします。PVとHVMの相違点(およびインスタンスアップグレードパスのドキュメント)の詳細については、以下の URL を参照してください。 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html インスタンスのオペレーティングシステムにパッチを適用することで、同じインスタンス内で動作するソフトウェアを分離し、CVE-2017-5754 のプロセス間の問題を緩和することを強く推奨します。以下のオペレーティングシステムのパッチの詳細を記載します。 Amazon Linux & […]

Read More

2018年2月のAWS Black Belt オンラインセミナーのご案内

こんにちは。ソリューションアーキテクトの有岡です。2018年2月のAWS Black Belt オンラインセミナーの配信についてご案内をさせて頂きます。 re:invent 2017の振り返りを終え、2018年2月のBlackBeltセミナーでは、ソリューションカットとしてAWS上での位置情報と動画配信ソリューション、Amazonのコンテナサービスをご紹介します。 サービスカットでは、クラウド型仮想デスクトップサービスのAmazon Workspaces、同じくBIツールのAmazon QuickSight、AWS Lambdaをエッジロケーションで活用する方法、エンタープライズのお客様でお使いになるケースの多いAWS Organizationsなど、盛り沢山でお送りします。   2月の開催予定 ソリューションカット 2月6日(火) 12:00~13:00 AWS における位置情報 2月13日(火) 12:00~13:00 動画配信 on AWS 2月20日(火) 12:00~13:00 Amazon Container Services サービスカット 2月7日(水) 18:00~19:00 Amazon Workspaces 2月14日(水) 18:00~19:00 AWS Organizations 2月21日(水) 18:00~19:00 AWS Lambda @ Edge 2月28日(水) 18:00~19:00 Amazon QuickSight お申し込みは、それぞれ上記のリンクより行って頂けます。キャンセルの際も連絡不要ですので是非お早めにご登録ください。Speaker、Staff 一同、みなさまのご参加をお待ちしております。    

Read More

プロセッサの投機的実行に関する調査の公開について

【日本語訳】日本時間 2018年02月14日19:30 関連する CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 日本時間 2018年02月06日09:30 以下は本件に関するアップデートです。 Amazon Linux 用の更新されたカーネルは、Amazon Linux のリポジトリにて入手できます。2018年1月13日以降にデフォルトの Amazon Linux 設定で起動された EC2 インスタンスには自動的に最新のパッケージが含まれています。 最新のパッケージでは、 CVE-2017-5715 に対処するための安定版オープンソース Linux セキュリティの改善がカーネル内に組み込まれています。また 以前取り込まれた CVE-2017-5754 に対処するカーネルページテーブルアイソレーション(KPTI)にもとづいて作成されています。インスタンス内の CVE-2017-5715 のプロセスープロセス間の問題と CVE-2017-5754 のプロセスーカーネル間の問題を効果的に軽減するには、最新の Amazon Linux カーネルまたは AMI にアップグレードする必要があります。詳細は「プロセッサの投機的実行 – オペレーティングシステムの更新」を参照してください。 para-virtualized(PV)インスタンスについては、以下の「PV インスタンスガイダンス」の情報を参照してください。   Amazon EC2   Amazon EC2 のすべてのインスタンスは、CVE-2017-5715、CVE-2017-5753、および CVE-2017-5754 に記載されたインスタンス間の既知の問題すべてから保護されています。インスタンス間での問題は、インスタンスまたは AWS ハイパーバイザーのメモリを近隣の別のインスタンスから読み取ることができると想定しています。この問題は AWS ハイパーバイザーでは解決されており、インスタンスは別のインスタンスのメモリを読み取ることも、AWS ハイパーバイザーのメモリを読み取ることもできません。 […]

Read More

Active Directory証明書サービス(AD CS)によるAmazon WorkSpacesマネージドデバイス認証の構成

ソリューションアーキテクトの渡邉(@gentaw0)です。Amazon WorkSpacesで、クライアント証明書によるマネージドデバイス認証が可能になりました(新機能 – Amazon WorkSpaces 用のマネージド型デバイスの認証)。マネージドデバイス認証を使用すると、あらかじめIT管理者が許可したデバイスからのみ接続を許可することで認証のセキュリティを強化することが可能になります。マネージドデバイス認証は現在、WindowsおよびMac OS Xに対応していますが、iOS、Android、Chrome OS、ウェブ、およびゼロクライアントデバイスからのアクセスをそれぞれ許可またはブロックすることも可能です。 マネージドデバイス認証はセキュリティ強化のための強力な機能ですが、使用するためには認証局(CA)や証明書の配布など公開鍵基盤(PKI)のための仕組みを用意する必要があります。この記事では、Active Directory証明書サービス(AD CS)を使用してクライアント証明書の発行とデバイスの管理をおこなう方法について解説します。 まず、Active Directory証明書サービス(AD CS)をEC2インスタンス上にインストールします。サーバーマネージャーの「役割の追加」から「Active Directory証明書サービス」を選択することでインストールが可能です。今回は、スタンドアロンのルートCAとしてインストールしますが、本番環境ではエンタープライズCAとすると証明書の発行をActive Directoryアカウントと連動して自動的におこなうことが可能です。また、「証明機関Web登録」をインストールすることによってWebサーバー(IIS)の役割があわせてインストールされます。 Active Directory証明書サービスのインストールが完了すると、クライアント証明書の発行と管理が可能になります。まずはAD CSからルート証明書をエクスポートしてAmazon WorkSpacesのディレクトリにインポートします。Amazon WorkSpacesコンソールで「Directories」→「Update Directory Details」を選択し、「Access Control Options」のセクションでBase64エンコードされたルート証明書を貼り付けることでインポートが可能です。 ルート証明書をインポートしたあと、「Only Allow Trusted Windows Devices to Access WorkSpaces」および「Only Allow Trusted MacOS Devices to Access WorkSpaces」のチェックボックスをオンにすることで適切なクライアント証明書がインストールされていないWindowsまたはMac OSデバイスからのアクセスを禁止することができるようになります。また、その他のデバイスタイプについてはプラットフォームごとにアクセスを許可もしくは禁止することが可能です。 次に、クライアント証明書の発行およびインストールをおこないます。ここでは証明機関Web登録を使用してクライアント証明書をリクエストしていきます。WebブラウザからActive Directory証明書サービスのWebサイトにHTTPSでアクセスして、「証明書を要求する」を選択することでリクエストをおこなうことが可能です。 「証明書の要求」では、「証明書の要求の詳細設定を送信」を選択して「証明書の要求の詳細設定」で「このCAへの要求を作成し送信する」を選択します。識別情報に必要な内容を入力し、証明書の種類では「クライアント認証証明書」を選択して要求を送信すると、クライアント証明書のリクエストがActive Directory証明書サービスに送信されます。発行したクライアント証明書をエクスポートする必要がある場合は「エクスポート可能なキーとしてマークする」にチェックしてください。 証明書の要求が完了すると、ステータスが保留中になります。リクエストを承認するためには、サーバーマネージャーでActive Directory証明書サービスを開き、「保留中の要求」からリクエストを承認します。 ふたたびWebブラウザでActive Directory証明書サービスのWebサイトにアクセスし、「保留中の証明書の要求の状態」を選択すると証明書のステータスを確認することが可能です。発行されたクライアント証明書をインストールするか、エクスポートした証明書をクライアントデバイスにコピーします。クライアントデバイスにルート証明書がインストールされていない場合は、あわせてルート証明書もインストールしておく必要があります。 WorkSpaces Client側にクライアント証明書がインストールされていない場合は、以下のようなメッセージが表示されます。クライアント証明書が適切にインストールされていると通常通りのログイン画面が表示され、自分のWorkSpaceにログインできるようになります。 マネージドデバイス認証を利用することで、管理者が許可していないデバイスからWorkSpacesに接続することをふせぐことができるためいままでよりセキュリティを強化することができます。このブログ記事で紹介した手順で、Active Directory証明書サービスを使用してマネージドデバイス認証をかんたんに検証することができます。その他、マネージドデバイス認証の詳細についてはこちらを参照してください。

Read More

新機能 – Amazon WorkSpaces 用のマネージド型デバイスの認証

では、ウェブおよびさまざまなデスクトップおよびモバイルデバイスから、クラウド上の仮想デスクトップにアクセスできます。この柔軟性により、WorkSpaces はユーザーが自己所有しているデバイス (BYOD または Bring Your Own Device とも呼ばれます) を使用できる環境に最適です。このような環境では、組織は WorkSpaces にアクセスできるデバイスを管理する機能を必要とする場合があります。たとえば、コンプライアンスまたはセキュリティポリシー要件を満たすため、クライアントデバイスのオペレーティングシステム、バージョン、またはパッチレベルに基づいてアクセスの制御が必要になる場合があります。 マネージド型デバイスの認証 本日、WorkSpaces 用のデバイス認証の提供を開始します。これにより、デジタル証明書を使用して、Apple OSX および Microsoft Windows からのクライアントアクセスを管理できるようになりました。また、iOS、Android、Chrome OS、ウェブ、およびゼロクライアントデバイスからのアクセスを許可またはブロックする選択もできます。ポリシーを実装して、許可するデバイスタイプとブロックするデバイスタイプを、パッチレベルまで管理できます。アクセスポリシーは、各 WorkSpaces ディレクトリに対して設定されます。ポリシーの設定後、クライアントデバイスから WorkSpaces への接続リクエストが評価され、ブロックまたは許可されます。この機能を利用するには、Microsoft System Center Configuration Manager またはモバイルデバイス管理 (MDM) ツールを使用して証明書をクライアントデバイスに配布する必要があります。WorkSpaces コンソールからアクセスコントロールオプションを設定する方法を次に示します。 クライアントが接続を許可されていない場合は、次のようになります。   今すぐ利用可能 この機能は、WorkSpaces が利用できるすべてのリージョンで利用できます。

Read More

最大 2 か月まで無料で Amazon WorkSpaces をお試しください

私は実際の経験を非常に重視しています。ごくまれな状況を除いて、私のブログの投稿は、該当のサービスを使用してから書いています。「私は Amazon WorkSpace がお気に入りです」という投稿をお読みになっていれば、 が私にとって最も重要な生産性ツールの 1 つであることをご存知かと思います。お客様ご自身で、 を無料でお試しいただく機会についてお話したいと思います。 新しい Amazon WorkSpaces の無料利用枠では、2 つの標準バンドル WorkSpaces を起動し、最大 2 か月まで 1 か月あたり合計 40 時間ご使用になれます。Windows Server を利用した Windows 7 または Windows Server 10 のデスクトップ体験を選択できます。どちらのオプションにも、Internet Explorer 11、Mozilla Firefox、7-Zip、および と 50 GB のストレージが含まれています。無料利用枠を利用するには、AutoStop モードで WorkSpaces を実行する必要があります。これはデフォルトで選択されます。未使用の時間は最初の月の末日に期限切れになり、無料利用枠は 2 か月目の末日に期限切れになります。 その後は、Amazon WorkSpaces 料金表ページに記載されている時間レートで課金されます。使用を開始するには、クイックステップの手順に従って、無料利用枠の対象となるバンドルを選択してください。 本特典は、現在 が利用可能なすべての AWS リージョンでご利用いただけます。

Read More

ランサムウェア「WannaCry」に関するAWSへの影響について

  2017年5月12日頃からWannaCry(別名、WCry、WanaCrypt0r 2.0、Wanna Decryptorなど)と呼ばれるランサムウェア(身代金マルウェア)による被害が世界中から報告されはじめました。日本でも複数の大手企業がこのマルウェアに感染したというニュースが報道されています。 このマルウェアは、ファイル共有および印刷共有サービスを提供するWindows SMBサーバー上に存在する脆弱性を悪用します。デフォルトでは、SMBサーバーはUDPポート137/138およびTCPポート139/445で動作します。また、Windowsオペレーティングシステムの複数のバージョンが対象で、Microsoft社は、この脆弱性を解消するため、2017年3月14日にMicrosoft Windows SMB Server(4013389)の重要なセキュリティ更新プログラムをリリースしました。詳細は、Microsoft MSRC blog もしくは Microsoft Security Bulletin MS1​​7-010 をご参照ください。   WannaCryによるAWSサービスへの影響   EC2 Windows   Amazon EC2上のWindowsに関しては、AWSから提供されている2017.04.12以降のリリースのAMIであれば、この脆弱性の被害を受けていません。また、自動更新が有効になっている場合も、この脆弱性は解消されています。2017.04.12より前のAMIを使用している、かつ、自動更新を有効にしていないお客様は、前述のセキュリティ更新プログラムをインストールすることをお勧めします。 AWSでは、セキュリティのベストプラクティスに従い、セキュリティグループの設定を確認し、その必要のあるインスタンスおよびリモートホストに対してのみ前述のポートへのアクセスを許可することを、常にお勧めしています。デフォルトでは、EC2セキュリティグループはこれらのポートをブロックします。 AWSのWindows AMIのリリースノートはこちらです。   WorkSpaces   Amazon WorkSpacesに関しては、2017 年4月15日以降にWorkSpaceを作成した、または、自動更新を有効にしたAmazon WorkSpacesのお客様は、この脆弱性の影響を受けません。 2017年4月15日より前にWorkSpaceを作成し、自動更新を有効にしていないお客様は、セキュリティ更新プログラムをインストールするか、 WorkSpaceを終了して再作成することをお勧めします。   Directory Service   AWS Directory Serviceに関しては、2017/05/20時点でパッチ適用作業が完了しました。お客様による対応は必要ありません。Amazon Simple AD、 AD Connector、AWS Cloud Directory はこの問題の影響を受けていません。最新情報につきましては、下の原文へのリンク先をご参照ください。   Elastic Beanstalk   […]

Read More