AWS利用に必要なセキュリティ体制と意識とは

IT・IT製品TOP > Key Conductors > 吉田 浩和(アイレット株式会社) > AWS利用に必要なセキュリティ体制と意識とは
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

AWS利用に必要なセキュリティ体制と意識とは

データセンター 2016/02/18

 今回は「第2回:AWSの意外な落とし穴!セキュアなAWS運用はどう実践すべきか」で説明した内容を更に深堀しながら、AWSの利用企業がどのような体制と意識で、導入や運用管理に臨むべきかを考えていきます。

複数の要素でセキュリティを高める努力が必要

 まず第2回の記事で説明したAWS の「セキュリティグループ」に関連して、セキュリティレベルを上手に高めていくための方策について、もう少し詳しく説明しましょう。

 セキュリティグループの設定で最も多いミスは、サーバーにふさわしくないセキュリティグループを指定してしまう操作ミスです。サーバー毎のセキュリティグループの設定は、最も甘いものに準じます。例えば、社内業務で利用するサーバーに対して、検証のために用意していた甘いルールのセキュリティグループを誤って設定すると、攻撃を受けた場合に情報漏洩や改竄、破壊などで事業が大きなダメージを被る可能性が高くなります。もちろん管理者はそんなことがないよう気をつけているはずですが、人間が介在する以上それでもやはりミスは起きています。残念ですが、これが現実なのです。

 「ミス前提」と言っても、2つ以上のミスが同時に発生する可能性は低いと考えられますので、1度のミスで具体的な被害を出しにくい仕組みを考えることが大事です。

 そのために整備しておくべきなのが、複数の要素でシステムを守ることができる体制です。AWSの場合、ファシリティ関係以外で最低限のセキュリティを担保するのがセキュリティグループですが、セキュリティグループの設定ミスの可能性を考えると、それにプラスして安全を高める要素がどうしても必要になります。

■プライベートサブネットの利用で重大被害発生を防ぐ

 その要素の中で、最も簡単にセキュリティを高められるのが「プライベートサブネット」です。前回記事ではパブリックサブネットに関してのみ説明しましたが、事前に「プライベート」サブネットを作成しておけば、サーバー作成時に「パブリック」と「プライベート」のどちらのサブネットにサーバーを配置するかを選択することができます。

 その最も大きな違いは、インターネットに接続するか否かです。プライベートサブネットの場合、インターネットと直接通信できません。インターネットからプライベートサブネットに配置したサーバーへ通信するには「パブリックサブネット」に配置したELBや Proxyサーバを経由する必要があります。同様に、プライベートサブネットに配置したサーバーからインターネットへ通信するには、NATサーバを経由する必要があります(図1)。
また、パブリックサブネットと同様にセキュリティグループが設定できます。

図1 プライベートサブネットのイメージ

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1 プライベートサブネットのイメージ

 この構成のキモは、プライベートサブネットに配置したサーバーのセキュリティグループ設定を誤って開放しても、ほとんど影響が発生しないところにあります。インターネットからの接続は、パブリックサブネットに配置したELBやProxyサーバに限定されますので、誤ってプライベートサブネットのサーバーに適用したセキュリティグループを開放しても、直ちにインターネットからの脅威は到達しません。ELBは、AWSが提供するマネージドサービスで、使用するポートと接続先サーバーを設定するだけで簡単に使用開始できます。設定が容易で、負荷にも自動で対応する上に、SSLアクセラレータの機能も提供するので使用しない手はありません。

 NATについても、最近はNAT GatewayというAWSのマネージドサービスが提供開始されました。NATサーバの監視やメンテナンスから開放され、より導入しやすい環境になってきています。このような構成では、どのサーバーをパブリックサブネットに置くか、プライベートサブネットに置くかが重要な判断になります。例えばサーバーの役割や用途をきめ細かく調査していくと、NATの利用が向かないというケースも考えられます。AWSに配置するシステムの特性により、適切な割り振りを設計することが肝心です(図2)。

図2 プライベートサブネットとインターネット接続するパブリックサブネットのハイブリッド構成例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図2 プライベートサブネットとインターネット接続するパブリックサブネットのハイブリッド構成例
■iptables・WindowsファイアウォールとネットワークACL

 サーバーをプライベートサブネットに配置できない場合でも、2つ目の要素としてサーバー内のiptables・Windows ファイアウォールを用いる方法や、ネットワークACL (NACLと略式表記)を用いる方法が考えられます。

 iptablesやWindowsファイアウォールは、パケットフィルタリングなどを行う一種のファイアウォール的なツールで、パケットをフィルタするルールと通信遮断のための条件などを設定します。また、iptablesは「SSHプロトコルの通信で、ログイン操作を○分間に○回繰り返していたら、送信元IPアドレスとの通信を遮断する」といった対応も可能です。

 ネットワークACLはサブネット単位に利用できる、ステートレス型のファイアウォールと考えるとよいでしょう(セキュリティグループはステートフル型のファイアウォールです)。 AWSでは、セキュリティグループとの違いを次の表のように示しています。ネットワークACLを積極的に利用する場合は、サーバーの配置場所を考えてサブネットを作成する必要があります。

表1 セキュリティグループとネットワークACLの違い

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

表1 セキュリティグループとネットワークACLの違い
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison
AWS Webページより

検証の自動化をはじめとする「セキュリティ体質」の改善を行う

 前回の記事で触れたオリジナルマシンイメージ(AMI)の使い回しに関連しますが、稼働中のシステムの脆弱性発見にどう対応するかは重要な問題です。パッチ適用やバージョンアップを不用意に行うとシステムに悪い影響が出ることが、まあまああるからです。本格的なパッチ等の適用前に、事前に動作確認をする必要があります。

 しかし、動作確認が完了するまでパッチ適用ができずに、脆弱性発表から時間が経てば経つほどリスクは増します。動作確認の必要性はもちろん、自社構築のアプリケーションでも同様に行う必要があります。

 上記の話はオンプレミスシステムでも同様ですが、クラウドの場合はマシンイメージを簡単に複製して利用できることで、より顕著になっています。大抵の開発現場では開発そのものに奔走していて、動作確認の自動化や定型化にまで手が回っていないことが多いようです。

 可能な限り、人力でやっている検証を、もっと手軽に短時間で行えるよう、積極的に自動化を図ることが大事です。場合によっては、テストプログラム作成など一部を外注することも検討したほうがよいでしょう。この部分は、運用コストとシステムの潜在的なリスクに直結します。IT部門をはじめとするシステムオーナーの「体質」に関わる部分なので、少々難しいかもしれませんが、システムを構築・発注する際は必ず考慮しておくべき条件だと考えます。

 今回は、複数要素でセキュリティレベルを高める方法と体制、運用開始後の動作確認をしやすくするための体質改善について述べました。

 次回は最終回。ここではもう1つの体制問題と言える「事件の再発防止」と、外部業者との協力関係について考えたいと思います。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008563


IT・IT製品TOP > Key Conductors > 吉田 浩和(アイレット株式会社) > AWS利用に必要なセキュリティ体制と意識とは

このページの先頭へ

キーマンズネットとは
AWS認定ソリューションアーキテクト。AWSプレミアコンサルティングパートナーであるcloudpackにjoin後、インフラ構築チームリーダーを経て、2014年4月からcloudpackが提供開始したDeep Security 運用代行サービス「securitypack」の運用責任者を務める。「セキュリティは運用が命」を信条に日夜情報発信する。

ページトップへ