CDP:OnDemand Firewallパターン
提供:AWS-CloudDesignPattern
メンテナンス時のファイアウォール
目次 |
解決したい課題
セキュアなシステムでは、当然ファイアウォールによるアクセス制限を行なっているが、基本的に許可されたアクセスルールは一日中アクセスできてしまう。
さらに、必要な時間帯のみアクセス許可を行うことができれば、よりセキュリティを高めることができる。
クラウドでの解決/パターンの説明
クラウドでは仮想ファイアウォールは容易に設定を変更出来る場合が多い。
この特徴を利用すると、アクセスが必要な時のみにファイアウォールのルールを適用することも容易に可能となる。
利用してない時には、そのそもアクセスが許可されてないので、よりセキュリティを高めることができる。
実装
一時的に許可するセキュリティグループを用意して、必要な時のみ必要なインスタンスに、そのセキュリティグループを適用する。
- 一時的に利用するセキュリティグループを事前に用意
- システムのメンテナンスなどを実施するときに、そのセキュリティグループをEC2に適用
- メンテナンス終了時、そのセキュリティグループをEC2から外す。
構造
利点
- セキュリティグループを適用してないときは、EC2にアクセスする経路がないので、システムをセキュアに保つことが可能。
注意点
- セキュリティグループを外し忘れる可能性もあるので、毎日定時にセキュリティグループを自動で外す仕組み(API)を導入することも可能。
