CDP:Backnetパターン
From AWS-CloudDesignPattern
管理用ネットワークの設置
Contents |
解決したい課題
インターネットに公開し、不特定多数のユーザーからアクセスされるようなサーバ(特にWebサーバ)は、管理目的でのアクセスも同じネットワークインターフェースを通して行われる形になってしまう。 しかし高いセキュリティレベルが要求される場合、信頼できるアクセスとできないアクセスが同じネットワークインターフェースを利用することは避けるべき課題となり、分離する必要性が出てくる。
クラウドでの解決/パターンの説明
公開目的の(Web)サーバに複数のネットワークインターフェースを設置し、管理用のネットワークインタフェースと公開用のネットワークインタフェースと分けることは、一般的なシステム構築・管理でよく用いられる手法である。 この管理用のネットワークインタフェースを設けることをバックネットと呼び、これを用意することによって、管理上のネットワークリスクを低減させることが可能になる。
実装
AWSのVPN(仮想プライベートネットワーク)ではENIと呼ばれる仮想ネットワークインターフェースが容易されており、EC2に対して2つまで利用することが可能である。 一方を公開用のネットワークインターフェースとして、もう一方を管理用ネットワークインターフェースとして設定する。
- EC2上にWebサーバやデータベースサーバをインストールし、外向けと内向け用にENIを二つ用意する。
- ENIの一つは、VPCのパブリックサブネットに所属 させ、0.0.0.0/0 (全トラフィック)を外向けのインターネットゲートウェイにルーティングする。
- ENIの二つ目は、VPCのプライベートサブネットに所属させ、0.0.0.0/0 (全トラフィック) を社内イントラネットなどにつながるVPNゲートウェイにルーティングする。
- そして、SSHアクセス、管理/ログ用途に、2番目のENIを使用する。
- 異なるセキュリティグループを各ENIに適用することが可能なので、最初のENIに関してはポート80のトラフィックを許可し、2番目のENIにはポート22へのトラフィックを許可する設定にする
構造
利点
- SSHとしてアクセス可能なポートが外部インターネット向けには存在しないので、セキュリティが高い。
- 外向けと内向けのENIを明確に分けることができるので、手順上のミスなど発生しにくい。
注意点
- VPNの設定も必要となるので、運用コストは高くなる。
