Compute Engine 上の Windows VM に対するゼロトラスト リモート管理アクセス

※この投稿は米国時間 2020 年 5 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

どこからでも安全にリソースにアクセスできることは、IT 管理者にとってこれまで以上に重要です。VM インスタンスを公共のインターネットに公開することは危険であり、攻撃者にネットワークへの直接アクセスパスを与えてしまう恐れがあります。しかし、このようなシステムにアクセスするために VPN トンネルや踏み台インスタンスなどのソリューションを利用するのは手間がかかり、管理タスクで必要となる正確なアクセス制御が不可能な場合もあります。

Google Cloud はこのジレンマを解決するため、Windows ユーザーや管理者が Compute Engine で実行されている Windows VM に 便利かつ安全にアクセスして管理できるようにする、オープンソースの新しいツールをリリースいたします。

それが、Windows アプリケーションの IAP Desktop です。これにより、Google Cloud で実行されている Windows VM インスタンスに対する複数のリモート デスクトップ プロトコル（RDP）接続を管理できるようになります。IAP Desktop は既存の Identity-Aware Proxy（IAP）サービスがベースとなっており、Google Cloud 上で実行されているアプリケーションや VM へのアクセスを制御できます。IAP は、ユーザーの ID とリクエストのコンテキストを確認して、そのユーザーにアプリケーションや VM へのアクセスを許可すべきかどうかを判断します。すべての RDP 接続は IAP を介して自動的に暗号化され、トンネルされるため、ユーザーは RDP を公開していない VM インスタンスやパブリック IP アドレスを持たない VM インスタンスにも接続できます。具体的に言うと、IAP Desktop は IAP TCP 転送を使用して RDP 接続をトンネルします。

ただし、IAP Desktop は単なるリモート デスクトップ クライアントではありません。Google Cloud プロジェクト全体にまたがるすべての VM インスタンスの概要を表示する機能や、それらインスタンスへのクイック アクセス機能も提供します。Windows 認証情報の生成やログの表示などの一般的な機能に、ワンクリックでアクセスすることもできます。

IAP Desktop は GitHub のページからダウンロード可能です。ぜひお試しいただき、Google Cloud での Windows インスタンス管理にお役立てください。また、アプリケーションへのシンプルで安全なリモート アクセス実装をご希望の場合は、BeyondCorp リモート アクセス ソリューションをご覧ください。

- By Google Cloud プロダクト マネージャー Christiaan Brand、ソリューション アーキテクト Johannes Passing