CDP:OnDemand Firewallパターン

提供:AWS-CloudDesignPattern
移動: 案内, 検索
寄贈したアーキテクト

メンテナンス時のファイアウォール

目次

解決したい課題

セキュアなシステムでは、当然ファイアウォールによるアクセス制限を行なっているが、基本的に許可されたアクセスルールは一日中アクセスできてしまう。

さらに、必要な時間帯のみアクセス許可を行うことができれば、よりセキュリティを高めることができる。

クラウドでの解決/パターンの説明

クラウドでは仮想ファイアウォールは容易に設定を変更出来る場合が多い。

この特徴を利用すると、アクセスが必要な時のみにファイアウォールのルールを適用することも容易に可能となる。

利用してない時には、そのそもアクセスが許可されてないので、よりセキュリティを高めることができる。

実装

一時的に許可するセキュリティグループを用意して、必要な時のみ必要なインスタンスに、そのセキュリティグループを適用する。

  • 一時的に利用するセキュリティグループを事前に用意
  • システムのメンテナンスなどを実施するときに、そのセキュリティグループをEC2に適用
  • メンテナンス終了時、そのセキュリティグループをEC2から外す。

構造

s4mlN4NnQ7S8y7M2-49E32.png

利点

  • セキュリティグループを適用してないときは、EC2にアクセスする経路がないので、システムをセキュアに保つことが可能。

注意点

  • セキュリティグループを外し忘れる可能性もあるので、毎日定時にセキュリティグループを自動で外す仕組み(API)を導入することも可能。

その他

関連ブログ

個人用ツール
名前空間
変種
操作
CDPメニュー
ツールボックス