AWS DirectoryServiceとVPNを使って社内リソースをActiceDirectoryに参加させてみた

1. はじめてのAWS

2. 自己紹介
@tsune_hide
名前 山城 常秀
年齢 ３３
性格 真面目な天邪鬼
座右の銘 自信はもっても満足しな
い
気になるサービス
VPC / Direct Connect / VPN

3. 趣味
アニメ、アニメ、アニメ、アニメ、映画、アニメ、、、、
他にも何か・・・
今期見ているアニメ：マクロス⊿、魔装学園HxH、クロムクロ、
ReLife、ねじ巻き精霊戦記 天鏡のアルデラミン
Re:ゼロから始める異世界生活

4. 趣味
IT全般
山城家には モバイル端末管理のためのMDM※導入済み
複数台のiPhone、iPad、Androidなどのスマートフォンおよびタブレット端末をリモートで一元管
理できる
GoogleApps for work 導入済み
WiFi APいじったり、電波計測
ルータがFirewallだったり・・・

5. お仕事の内容
現在の勤め先 株式会社レキサス （ジョイン歴 6ヶ月）
仕事の内容 情報システム ＋ 業務改善リスト
社内の情報基盤強化
セキュリティマネジメント(ISMS)
それ以前の経歴
ソフトウェアベンダー：インフラ設計、PG ３年
動物病院：情シス、経営企画、経理、マネジメント ８年

6. AWS経験歴 ゼロ年
・AWSを知ったの１年ほど前
・JAWS-UG 2016年1月初参加
・本日、初登壇

7. 再スタートしたばかりのエンジニアを
暖かく迎えてくださいmm
熱い熱いサーバレストーク

8. Re:ゼロ
から始めるAWS生活
情シスの
〜AWS Directory Service編〜

9. AWS Directory Serviceって何なの？

10. Active Directoryとは
ActiveDirectoryに含まれる機能
・ユーザの管理
ID、属性、所属グループや権限を管理
・ユーザ認証
異なるコンピュータ間でシングルサインオンを提供
・コンピュータの管理
ドメイン参加したコンピュータの名前解決(DNS)
・グループポリシー
ユーザやコンピュータの設定を一元管理

11. DirectoryServiceやってみようと思ったきっかけ
AWS でActive Directory？ Microsoft ? Windows Server
Windows Serverとか人気なさそうwww (特にレキサスでは)
情シス的にやってみるか ←いまここ

12. 何をやるか？
社内リソースからドメイン参加できないのか？

13. やってみたこと
・社内から使えないのか？
・グループポリシー適用（パスワード制限）
準備するもの
・VPC
・DirectoryService(Simple AD)
・IPSec対応ルータ (Yamaha SRT100)
・Windows Proエディション

14. 構成
VPN はNATトラバーサル対応

15. VPC+VPN構築
・異なるアベイラビリティーゾーンに２つのサブネットが必要
※後のDirectory Service作成時に必須

16. VPN設定 (AWS / 社内)
・ルータ設定は自動生成(IPSec / BGP含む)
※NAT配下の場合はlocal addressの変更 / bgp equalを変更

17. SimpleAD
・Directory DNSのみ注意
・DNS Serverが２つできる

18. セキュリティグループ変更
・VPN経由を許可
インバウンド許可
TCP/UDP 53 - DNS
TCP/UDP 88 - Kerberos authentication
UDP 123 - NTP
TCP 135 - RPC
UDP 137-138 - Netlogon
TCP 139 - Netlogon
TCP/UDP 389 - LDAP; note that AWS Directory Service does not support LDAP with SSL (LDAPS) or LDAP signing
TCP/UDP 445 - SMB
TCP 873 - FRS
TCP 3268 - Global Catalog
TCP/UDP 1024-65535 - Ephemeral ports for RPC

19. クライアント側
・DNSの宛先変更
・MacOSX/LinuxもActiveDirectory参加可能
管理
・リモートサーバ管理ツールが必要
つらいGUI設定不可避仕様...

20. これだけで終わり
所要時間 １〜2時間程度（慣れたら30分）
引っかかった箇所
・セキュリティグループ × VPNルータFirewall

21. 結論
・EC2/WorkspaceなどAWSリソース以外からも利用可能
・社内にグループポリシー適用可能
・UserCAL不要
注意事項
・SimpleAD(Small/Large)とMicrosoft AD(Enterprise)できることが異なる
信頼関係NG / ユーザ移行NG / MFA認証NG

22. メリット
Windows Server
2012R2
Active
Directory
ファイル
共有
ハードウェア
Windows Server
2012R2
Active
Directory
ファイル
共有
EC2
AWS
Directory
共有
ディスク
・運用コスト削減

23. サーバレスから
情報システム部門レスへ

24. 運用保守から
セキュリティ強化へ

25. ご清聴ありがとうございました

26. 質疑応答への回答
Q1.価格
Q2.SimpleADはユーザインポートできるとのことだがパスワードは？
既存ADからcsv形式で出力したファイルは読み込めるがパスワードが含まれないため不可
Q2.単一障害点にならない？
デフォルト２つAZ構成
Q3.通信障害は？
心配であれば ISP回線を使わないDirect Connectをおすすめ
Q4.Direct Connect高くない？
VPNは固定IP利用のためプロバイダ利用料で月額１万円はかかる
DirectConnectはフレッツVPN使った物だと4万円から導入可能
4拠点以上ある場合にはDirectConnectが安い
参考サイト https://www.ntt-west.co.jp/news/1601/160119a.html
Small Large Enterprise
月額 58.56 USD 175.68USD 325.74USD