クラウドがハリケーンからネットワークダウンを救った

IT・IT製品TOP > Key Conductors > 鹿谷 崇志(株式会社シーエーシー) > クラウドがハリケーンからネットワークダウンを救った
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

クラウドがハリケーンからネットワークダウンを救った

データセンター 2012/12/12

季節外れの大型ハリケーンがニューヨークを襲った日、
東京に本社をおくA社の情報システム部ではこんな会話が交わされていた。
(これは実話をもとにしたフィクションです)

  渡辺君 「部長!大変です。NY支社がハリケーンで停電したのでネットワークが使えないそうです。」
  鈴木部長「サーバをクラウドに移行したのに、なぜアクセスできないんだ?」
  渡辺君 「NY支社のネットワークからしかサーバに接続できない構成になっていて…」
  鈴木部長「クラウドなんだから、なんとかなるだろう。」
  渡辺君 「リモートからアクセスできるようにすれば…」
  鈴木部長「セキュリティは大丈夫なのか?」
  渡辺君 「部長、まかせて下さい!」

A社は海外拠点ITのクラウド移行を推進しており、NY支社はちょうど1か月前に、
ローカルサーバーActive Directory 2台(FSMO含む)とファイルサーバを
AWS(Amazon Cloud Services)のVPC(Virtual Private Cloud)環境へ移行したばかりだった。

クラウドに移行すればBCP対策にもなるはずだった。ところがアクセス方法まで対策がとれていなかったのだ。

渡辺君が考えた緊急対応策はこうだ。
・東京からインターネット経由で、VPC環境設定やサーバー作成ができる。
・VPC上にDMZセグメントを作って、リモートアクセスサーバを立てれば、
 NYオフィス以外からでもインターネット経由でVPC上のサーバにアクセスできるようになる。
・セキュリティはVPCのファイアウォール機能を使えば問題はない。

今回は、リモートからクラウド上のサーバに、安全に接続するための基本的な環境構築方法を紹介する。

忘れてはいけないAmazon VPCの安全性の裏側

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1

AWS VPCの安全性の特徴
1.インターネットから完全に隔離
   インターネットから隔離されたネットワーク環境を、任意のプライベートIPで構築が可能
2.暗号化された安全なVPN接続
   社内LANからは、インターネットVPN(IPsec)による接続なので、安全でシームレスな接続が可能
   AWS Direct Connectを用いることで専用線による閉域接続も可能
3.分離された個別ネットワーク
   各VPCは分離された個別のネットワークのため、異なるVPC間、顧客間のトラフィックは完全に分離

このように、AWS VPCを使うことで安全なネットワーク環境を構築できる一方、そのままではユーザはインターネットからVPC環境に自由にアクセスができない、ということを忘れてはいけない。

クラウドにもインターネットからの入口は別に必要

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図2

DMZセグメントの構築
インターネットへ接続するためには、VPC上にインターネット
ゲートウエイ機能を追加し、そこへのルーティング設定を行ったサブネット(DMZ)を定義する必要がある。
このDMZサブネットに起動したサーバへグローバルIPを付与することで、インターネットへ公開することが可能になるのだ。

VPCでは多段のファイアウォール機能により安全性が保たれている。
各サブネット間のトラフィックに対しては、ステートレスなフィルター(Subnet ACL)が定義でき、プロトコル、ポート、IPアドレスに基づいてトラフィックの許可、拒否を行える。
また、各サーバには、ステートフルなファイアウォール設定(Security Group)を行うことができ、送信、受信双方に対し、プロトコル、ポート、アドレス/グループ(注1)に基づいたトラフィック許可が行える。

注1 グループとは、同一のセキュリティグループを設定したサーバ群をさしている。アドレスだけではなくグループを用いたポリシーベースのルールを設定することができる。

数時間でリモートアクセスサーバの構築が完了

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図3

リモートアクセスサーバの構築
リモートアクセスサーバは、
Windows 2008R2(AD構成)+ルーティングとリモートアクセス役割サービス (Windows標準機能)を使って構築した。
認証方式は、昨今話題のMS-CHAPv2の脆弱性対応を行うために、PEAP-MS-CHAP v2を用いることにした。
これは、チャレンジレスポンス方式のユーザ/パスワード認証であるMS-CHAPをTLS通信で行うもので、脆弱性をカバーし安全に認証を行えるのだ。

数時間後…

  渡辺君 「部長!リモートからアクセスできるようになりました。」
  鈴木部長「さすがクラウドだね」
  渡辺君 「…」

渡辺君は、ベンダーから動作検証済みのリモートアクセス用のサーバテンプレート(AMI)が提供されていたので、わずか数時間でリモートアクセスサーバを構築することができたのだった。(注2)

今回は緊急対応として基本的な構成でなんとか乗り切ったが、本来リモートアクセス環境構築を行う際には
AD連携させるのか、クライアント証明書認証はどうするのかについても考えなくてはいけない。
このあたりの話についは、次回以降に紹介していきたいと思う。


注2 VPCを、AWSの知識がなくても簡単に利用できるCAC Enterprise Cloud+ を利用。

Amazon Web Services(AWS)、Amazon Virtual Private Cloud(Amazon VPC)、および Amazon Web Servicesロゴは、Amazon.com, Inc.またはその関連会社の商標です。
Windowsは、Microsoft社の登録商標です。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30005263


IT・IT製品TOP > Key Conductors > 鹿谷 崇志(株式会社シーエーシー) > クラウドがハリケーンからネットワークダウンを救った

このページの先頭へ

キーマンズネットとは
1980年入社 メインフレーム、UNIX、PCサーバと、インフラの設計、構築、運用に携わってきた。現在は、パブリッククラウドを安全、簡単に使えるように、監視/運用管理機能などを付加した企業システム向けクラウドサービス "Enterprise Cloud+" の企画、開発に従事。

ページトップへ