CDP:Functional Firewallパターン
提供:AWS-CloudDesignPattern
(版間での差分)
(ページの作成:「== 解決したい課題 == ファイアウォールを利用して階層的にアクセス制限を行う事は、従来のシステムでも通常行われてきた...」) |
C9katayama (トーク | 投稿記録) (→実装) |
||
| (5人の利用者による、間の15版が非表示) | |||
| 1行: | 1行: | ||
| + | [[Category:CDP:すべてのパターン]][[Category:CDP:ネットワークのパターン]] | ||
| + | {{CDP一覧}}{{NoT}} | ||
| + | 階層的アクセス制限 | ||
| + | |||
== 解決したい課題 == | == 解決したい課題 == | ||
| − | + | ||
| − | + | ファイアウォールを利用した階層的なアクセス制限は、従来のシステムでも通常行われてきたセキュリティ対策である。しかしアクセス制限のルールが多くなると、ファイアウォールの設定も多く煩雑になり、それに伴い運用コストが高くなってしまう。また、ファイアウォールでルールのグループ化ができない場合は、メンテナンスも煩雑になり、ミスを誘発する可能性も高まる。 | |
| − | + | ||
== クラウドでの解決/パターンの説明 == | == クラウドでの解決/パターンの説明 == | ||
| − | + | ||
| − | + | 従来、ファイアウォールは専用機器を利用し、グループ化せずにルールを管理することが多かった。グループ化できたとしても、サーバー単位に容易に適用することは困難であった。クラウドではファイアフォールに関しても仮想化されており、より柔軟に設定することが可能となっている。そしてルールをグループ化し、グループ単位での設定や各サーバーへの適用を行うことができるものもある。このグループの単位を機能ごと(WebやDBなど)にすることで、機能に関する設定をグループ内で一元管理できるようになる。仮想サーバーへの適用も機能グループ単位で実施できるようになり、アクセス制限のメンテナンスも容易となりミスも起きにくくなる。 | |
| − | + | ||
== 実装 == | == 実装 == | ||
| − | + | ||
| − | + | AWSでは、セキュリティグループと呼ばれる仮想ファイアウォールが利用できる。機能ごとにセキュリティグループを作成し、ルールを一元管理する。設定したセキュリティグループを機能単位で分けたEC2インスタンスに適用することで、機能ごとにグルーピングを行なう。 | |
| − | * | + | |
| − | * | + | * 機能ごと(Web層、アプリケーション層、DB層など)にEC2をグループ化する。 |
| − | * | + | * EC2のグループごとにセキュリティグループを作り、EC2に設定する。 |
| + | * IPアドレスやポート番号などのセキュリティグループの設定を行う。 | ||
== 構造 == | == 構造 == | ||
| 20行: | 23行: | ||
== 利点 == | == 利点 == | ||
| − | |||
| − | |||
| − | == | + | * 階層化したアクセス制御が行え、セキュリティが向上する。 |
| − | * | + | * 機能ごとにEC2仮想サーバーをグループ分けしているため、Scale Outパターンを利用した際も仮想ファイアウォールの設定変更が必要ない。 |
| + | |||
| + | == 注意点 == | ||
| + | |||
| + | * 仮想ファイアウォールは論理的なものでいくつも定義できるが、いくつも作成すると見通しが悪くなるため、機能グループの粒度には注意する必要がある。 | ||
| + | |||
| + | == その他 == | ||
2012年6月19日 (火) 00:20時点における最新版
階層的アクセス制限
目次 |
解決したい課題
ファイアウォールを利用した階層的なアクセス制限は、従来のシステムでも通常行われてきたセキュリティ対策である。しかしアクセス制限のルールが多くなると、ファイアウォールの設定も多く煩雑になり、それに伴い運用コストが高くなってしまう。また、ファイアウォールでルールのグループ化ができない場合は、メンテナンスも煩雑になり、ミスを誘発する可能性も高まる。
クラウドでの解決/パターンの説明
従来、ファイアウォールは専用機器を利用し、グループ化せずにルールを管理することが多かった。グループ化できたとしても、サーバー単位に容易に適用することは困難であった。クラウドではファイアフォールに関しても仮想化されており、より柔軟に設定することが可能となっている。そしてルールをグループ化し、グループ単位での設定や各サーバーへの適用を行うことができるものもある。このグループの単位を機能ごと(WebやDBなど)にすることで、機能に関する設定をグループ内で一元管理できるようになる。仮想サーバーへの適用も機能グループ単位で実施できるようになり、アクセス制限のメンテナンスも容易となりミスも起きにくくなる。
実装
AWSでは、セキュリティグループと呼ばれる仮想ファイアウォールが利用できる。機能ごとにセキュリティグループを作成し、ルールを一元管理する。設定したセキュリティグループを機能単位で分けたEC2インスタンスに適用することで、機能ごとにグルーピングを行なう。
- 機能ごと(Web層、アプリケーション層、DB層など)にEC2をグループ化する。
- EC2のグループごとにセキュリティグループを作り、EC2に設定する。
- IPアドレスやポート番号などのセキュリティグループの設定を行う。
構造
利点
- 階層化したアクセス制御が行え、セキュリティが向上する。
- 機能ごとにEC2仮想サーバーをグループ分けしているため、Scale Outパターンを利用した際も仮想ファイアウォールの設定変更が必要ない。
注意点
- 仮想ファイアウォールは論理的なものでいくつも定義できるが、いくつも作成すると見通しが悪くなるため、機能グループの粒度には注意する必要がある。
