リモート保守で活用するAWS Systems Managerの利用前に考えてみよう

投稿日: 2022/03/29

はじめに

こんにちは、坂です。
AWS上に構築したサーバ保守ですが、オンプレと同様に閉域網を通じてOSにログインして行う事が一般的な思考でした。そこに、AWS Systems Manager（以降：SSM）に便利な機能「SSM Session Manager」や「SSM Fleet Manager」がリリースされ、利用されるケースが増えたと思います。
本日は、この便利な機能に関わるセキュリティリスクについて話したいと思います。

１．従来の保守接続

オンプレの保守ですが、厳重に入退室が管理されたデータセンターに赴き、ロケーションやネットワークを含め閉域な環境で作業を行っていました。
それをAWSの構成では、インターネットへ直接的な経路を保持するPublicサブネットと経路を持たないPrivateサブネットの概念を活用してEC2を置先するSubnetを検討されていると思います。よって、AWSの構成でPrivateサブネットにEC2を配置すれば閉域網で接続されたオフィスからの接続に限定されると認識していると、知らない間にリスクが生まれている恐れがあります。

２．「SSM Session Manager」や「SSM Fleet Manager」とは？

端的に言えば、ブラウザからコマンドラインやWindows リモートデスクトップが利用できる機能です。便利ですね。
この機能を活用すると、下記に挙げるような恩恵を受けられます。

• EC2の接続でキーペアを利用しない為、管理が不要になる
• HTTPS（TCPポート443番）を利用する為、社内Proxyで、SSHのTCPポート22番やWindows リモートデスクトップのTCPポート3389番が空いていない環境でもOSにログインした作業ができる
• Publicサブネットに配置する踏み台用途のEC2が不要になる

この機能は下記３つの要素が揃う事で利用可能です。

• EC2側
  • SSMに関わるIAMロールのアサイン
  • インターネット向けアウトバウンド通信経路の確保
    または、SSMサービス関連エンドポイントへ通信経路の確保
• ユーザ側
  • SSMに関わるIAMポリシーのアサイン

３．「SSM Session Manager」や「SSM Fleet Manager」の利用するリスクとは？

インフラを保守するメンバーには、たいてい特権の利用が許されています。よって、利用前提に挙げたIAMロールやIAMポリシー対応がハードルになる事は少ないです。
インフラでハードルになる事は、Privateサブネットにインターネット向けアウトバウンド通信経路の確保はハードルが高い事があります。よって、回避する為に「SSMサービス関連エンドポイントへ通信経路の確保」でVPCエンドポイントを作成しAWS PrivateLink を使用してSSMサービス経由でプライベートに接続させます。

ここで立ち止まって振り返ってください。
インターネットから隔離を目的にPraivateサブネットにEC2を配置して接続を閉域網に限定したはずが、インターネットのどこからでもアクセスが可能なAWSマネージメントコンソールを経由して、OSにログインした操作ができる状態になります。

AWSマネージメントコンソールの認証された方に限定される為、不特定多数の人がアクセスする事はできません。しかし、認証されたメンバーならどこからでもアクセスして良いのでしょうか？

• 保守を他社に任せて利用するケースもあるでしょう
• 機密情報を保持または、アクセスできるEC2かもしれません

まとめ

PraivateサブネットにEC2を配置しているから、安全と考えるのは早計。 保守で便利なサービス「SSM Session Manager」や「SSM Fleet Manager」を利用したリスクと上手に折り合いをつけて利用しましょう。
AWSは便利なサービスが次々とリリースされてきます。セキュリティに懸念があるから利用を止めるではなく、リリースされる便利な機能を使いつつ、リスクと成り得るケースを把握して上手に付き合い、セキュリティリスクを完全に潰すことはできませんが、そのリスクを認知する事が重要です。

CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。