CDP:RDP Gatewayパターン

解決したい課題

Amazon EC2のWindowsインスタンスにリモートデスクトッププロトコル（RDP）で接続する場合、デフォルトでTCP:3389番を使用するため社内ファイヤーウォール経由などでの接続の場合このポートをオープンしておく必要がある。しかしながら、社内のセキュリティポリシー上RDPをオープンすることが許可されていなかったり、RDP自体にセキュリティの脆弱性が発見されたりして安全に使用することができない場合がある。また、VPC内のインスタンスに接続するためにはインスタンスにEIP（Elastic IP）を付与する必要がある。

クラウドでの解決/パターンの説明

Windowsの標準機能であるリモートデスクトップゲートウェイ（RDゲートウェイ）を使用することにより、SSL（HTTPS）を使用してインターネット経由でもよりセキュアにWindowsインスタンスに接続することができるようになる。また、VPC内のEIPを付与していないインスタンスに対しても、RDゲートウェイを経由して接続することができる。

実装

RDゲートウェイの役割をWindowsインスタンス上で構成し、WindowsインスタンスにRDゲートウェイ経由で接続するようにRDPクライアントを設定する。

（手順）

・Windowsインスタンスを起動したものにEIPを付与し、DNSサーバーにFQDNを登録する。

・RD Gatewayをインストールし、証明書を構成する。

・必要に応じてクライアントにルート証明書をインストールし、RDゲートウェイの資格情報を使用するようにRDPクライアントを構成。 ^{[関連ブログ 1]}

構造

利点

・RDP(TCP:3389)を使用できない環境でもWindowsインスタンスに接続することができる。 ・VPC内のEIPを付与していないインスタンスにもセキュアに接続できる。

注意点

・RDPクライアントはRDゲートウェイをサポートしたものを使用する必要がある。 ・ルート証明書およびパスワードの管理は厳密に！

その他

関連ブログ

1. ↑ gentaw's blog の「"RD Gateway経由でAmazon EC2のWindowsインスタンスに接続してみる"」( http://gentaws.wordpress.com/2013/02/01/rd-gateway%e7%b5%8c%e7%94%b1%e3%81%a7amazon-ec2%e3%81%aewindows%e3%82%a4%e3%83%b3%e3%82%b9%e3%82%bf%e3%83%b3%e3%82%b9%e3%81%ab%e6%8e%a5%e7%b6%9a%e3%81%97%e3%81%a6%e3%81%bf%e3%82%8b/ )