CDP:Backnetパターン

From AWS-CloudDesignPattern
Jump to: navigation, search
Architect

管理用ネットワークの設置

Contents

解決したい課題

インターネットに公開し、不特定多数のユーザーからアクセスされるようなサーバ(特にWebサーバ)は、管理目的でのアクセスも同じネットワークインターフェースを通して行われる形になってしまう。 しかし高いセキュリティレベルが要求される場合、信頼できるアクセスとできないアクセスが同じネットワークインターフェースを利用することは避けるべき課題となり、分離する必要性が出てくる。

クラウドでの解決/パターンの説明

公開目的の(Web)サーバに複数のネットワークインターフェースを設置し、管理用のネットワークインタフェースと公開用のネットワークインタフェースと分けることは、一般的なシステム構築・管理でよく用いられる手法である。 この管理用のネットワークインタフェースを設けることをバックネットと呼び、これを用意することによって、管理上のネットワークリスクを低減させることが可能になる。

実装

AWSのVPN(仮想プライベートネットワーク)ではENIと呼ばれる仮想ネットワークインターフェースが容易されており、EC2に対して2つまで利用することが可能である。 一方を公開用のネットワークインターフェースとして、もう一方を管理用ネットワークインターフェースとして設定する。

  • EC2上にWebサーバやデータベースサーバをインストールし、外向けと内向け用にENIを二つ用意する。
  • ENIの一つは、VPCのパブリックサブネットに所属 させ、0.0.0.0/0 (全トラフィック)を外向けのインターネットゲートウェイにルーティングする。
  • ENIの二つ目は、VPCのプライベートサブネットに所属させ、0.0.0.0/0 (全トラフィック) を社内イントラネットなどにつながるVPNゲートウェイにルーティングする。
  • そして、SSHアクセス、管理/ログ用途に、2番目のENIを使用する。
  • 異なるセキュリティグループを各ENIに適用することが可能なので、最初のENIに関してはポート80のトラフィックを許可し、2番目のENIにはポート22へのトラフィックを許可する設定にする

構造

6wNg0ISJczU5Pz1m-A0AC9.png

利点

  • SSHとしてアクセス可能なポートが外部インターネット向けには存在しないので、セキュリティが高い。
  • 外向けと内向けのENIを明確に分けることができるので、手順上のミスなど発生しにくい。

注意点

  • VPNの設定も必要となるので、運用コストは高くなる。

その他

Personal tools
Namespaces
Variants
Actions
Navigation
Toolbox