Amazon EC2編~基本セキュリティについて~

Pocket

システムを運用していくうえで「セキュリティ」は、どうしても懸念事項としてあることでしょう。
ニュースなどでも、遠隔操作によるPCの不正利用などでますますセキュリティ面が問題になっています。

最近ではクラウドでもデータセキュリティに対する関心が高まり、クラウド環境でのデータを暗号化する製品や、暗号化を自動で実行する製品なども登場し、それだけセキュリティが重要視されているということが分かります。

そこで、今回はAWSを利用するにあたってのセキュリティの基本設定についてお話したいと思います。

クラウド環境ということで「情報流出はないのだろうか?」とか、「ウィルスはどうなのだろう?」など、半数以上の人がセキュリティ面の問題でクラウドサービスの採用を思いとどまっているかと思います。

でも!!

AWSはそんな心配もなく、安心してご利用いただけます!
AWSにはセキュリティグループ(仮想ファイアウォール)やVPC(仮想プライベートネットワーク)と言った様々なセキュリティ機能が用意されています。

ですので、Amazon EC2を使うにあたりセキュリティについて以下の様な事を行うことで簡単にセキュリティを高めることが可能になります。
そもそも、セキュリティグループとは何なのか。

セキュリティグループとは


EC2インスタンスに適用可能なAWS標準のファイアウォール機能です。
セキュリティグループは、EC2インスタンスへのアクセスを許可し、トラフィックを制御するファイアウォールとして動作します。

また、1つのセキュリティグループを複数のEC2インスタンスに割り当てることもできます。
各セキュリティグループでは、EC2インスタンスへのアクセスを許可するトラフィック規定のルールを設定し、ここで設定・許可しないアクセストラフィックは全て拒否されます。

SnapCrab_NoName_2013-5-22_16-33-54_No-00

なお、セキュリティグループのルール設定はいつでも変更可能です。
例えば、新しいルールを設定した場合、すべての既存EC2インスタンスとこれから立ちあげるEC2インスタンスに対しても自動的に新しいルールの設定が適用されます。

ただ、セキュリティグループを使用するうえで以下、いくつかの注意事項もあります。

注意点


①未設定の場合、基本的に外部からの通信は全て遮断され、許可する通信のみを設定、許可します。(ホワイトリスト方式)
②VPCで利用する以外はアウトバウンドに関して、セキュリティ設定ができない(VPC内でもデフォルトは全て許可されています)
③セキュリティグループにはログがないため、セキュリティグループまわりで問題があった場合、切り分けができない。

また、AWSアカウントには自動的にデフォルトセキュリティグループが適用されます。
EC2インスタンス起動時にセキュリティグループを指定しなかった場合、インスタンスは自動的にこのデフォルトセキュリティグループで起動されてしまうので必ず、設定は確認するようにしましょう。

それでは早速、セキュリティグループの設定を行なってみましょう。

設定方法


1. AWSの管理画面にログインしてEC2インスタンス一覧の画面を開き、左メニューにある「Security Groups」をクリックします。

No22-cap1-(2)

2. 一覧から、該当のセキュリティグループを選択し「Inbound」のタブをクリックします。

No22-cap2-(2)

3. プルダウンメニューからサービスを選び、「Add Rule」をクリックして加えます。最後に「Apply Rule Changes」をクリックして反映させます。

no22-cap3-(2)

以上がセキュリティグループの設定方法となります。

セキュリティグループを利用してセキュリティを高めるには以下の様な方法が効果的です。

1. セキュリティグループに対して不要なポートは開放しない
2. TCP/IPの主要なプロトコルはウェルノウンポートを利用しない
3. SSHやRDPなどサーバ管理を行うサービスは指定IP以外からのアクセスを許可しない

特に2、3を行うことでEC2側のセキュリティログの不正アクセスが非常に少なくなり、精神衛生上も気持のち良いものです。

1台、2台程度であれば問題ないですが、多数のサーバを管理する場合にはきちんと上記運用ルールを反映させることが重要で、忘れてしまうと思わぬ障害時にログイン出来ない!と言った事象を引き起こすことにもなりかねないので注意してください。

余談ではありますが、VPC以外でEC2を立ちあげつつ、アウトバウンドのセキュリティも高めたいという場合はiptables等によりアウトバウンドのトラフィックについて設定することも可能です。

いかがでしたでしょうか?

上記のように、いくつかの点を注意するだけで簡単にセキュリティを高めることができます。
サーバの立ちあげは、セキュリティ面を十分考慮しておこなうことがとても重要になってきます。

次回は、『Amazon EC2編~EC2インスタンスにPuTTYで接続してみよう!~』と題して、これまで立ちあげ・設定をおこなってきたEC2インスタンスにSSH接続ツールを使って接続してみます。
お楽しみに!

ナレコムではAWSに興味がある、AWSを仕事にしたいクラウドエンジニアを絶賛募集中です!興味がある方はこちらからお問い合わせください。