Amazon EC2編~基本セキュリティについて~

システムを運用していくうえで「セキュリティ」は、どうしても懸念事項としてあることでしょう。
ニュースなどでも、遠隔操作によるPCの不正利用などでますますセキュリティ面が問題になっています。

最近ではクラウドでもデータセキュリティに対する関心が高まり、クラウド環境でのデータを暗号化する製品や、暗号化を自動で実行する製品なども登場し、それだけセキュリティが重要視されているということが分かります。

そこで、今回はAWSを利用するにあたってのセキュリティの基本設定についてお話したいと思います。

クラウド環境ということで「情報流出はないのだろうか?」とか、「ウィルスはどうなのだろう?」など、半数以上の人がセキュリティ面の問題でクラウドサービスの採用を思いとどまっているかと思います。

でも!!

AWSはそんな心配もなく、安心してご利用いただけます!
AWSにはセキュリティグループ(仮想ファイアウォール)やVPC(仮想プライベートネットワーク)と言った様々なセキュリティ機能が用意されています。

ですので、Amazon EC2を使うにあたりセキュリティについて以下の様な事を行うことで簡単にセキュリティを高めることが可能になります。
そもそも、セキュリティグループとは何なのか。

セキュリティグループとは


EC2インスタンスに適用可能なAWS標準のファイアウォール機能です。
セキュリティグループは、EC2インスタンスへのアクセスを許可し、トラフィックを制御するファイアウォールとして動作します。

また、1つのセキュリティグループを複数のEC2インスタンスに割り当てることもできます。
各セキュリティグループでは、EC2インスタンスへのアクセスを許可するトラフィック規定のルールを設定し、ここで設定・許可しないアクセストラフィックは全て拒否されます。

SnapCrab_NoName_2013-5-22_16-33-54_No-00

なお、セキュリティグループのルール設定はいつでも変更可能です。
例えば、新しいルールを設定した場合、すべての既存EC2インスタンスとこれから立ちあげるEC2インスタンスに対しても自動的に新しいルールの設定が適用されます。

ただ、セキュリティグループを使用するうえで以下、いくつかの注意事項もあります。

注意点


①未設定の場合、基本的に外部からの通信は全て遮断され、許可する通信のみを設定、許可します。(ホワイトリスト方式)
②VPCで利用する以外はアウトバウンドに関して、セキュリティ設定ができない(VPC内でもデフォルトは全て許可されています)
③セキュリティグループにはログがないため、セキュリティグループまわりで問題があった場合、切り分けができない。

また、AWSアカウントには自動的にデフォルトセキュリティグループが適用されます。
EC2インスタンス起動時にセキュリティグループを指定しなかった場合、インスタンスは自動的にこのデフォルトセキュリティグループで起動されてしまうので必ず、設定は確認するようにしましょう。

それでは早速、セキュリティグループの設定を行なってみましょう。

設定方法


1. AWSの管理画面にログインしてEC2インスタンス一覧の画面を開き、左メニューにある「Security Groups」をクリックします。

No22-cap1-(2)

2. 一覧から、該当のセキュリティグループを選択し「Inbound」のタブをクリックします。

No22-cap2-(2)

3. プルダウンメニューからサービスを選び、「Add Rule」をクリックして加えます。最後に「Apply Rule Changes」をクリックして反映させます。

no22-cap3-(2)

以上がセキュリティグループの設定方法となります。

セキュリティグループを利用してセキュリティを高めるには以下の様な方法が効果的です。

1. セキュリティグループに対して不要なポートは開放しない
2. TCP/IPの主要なプロトコルはウェルノウンポートを利用しない
3. SSHやRDPなどサーバ管理を行うサービスは指定IP以外からのアクセスを許可しない

特に2、3を行うことでEC2側のセキュリティログの不正アクセスが非常に少なくなり、精神衛生上も気持のち良いものです。

1台、2台程度であれば問題ないですが、多数のサーバを管理する場合にはきちんと上記運用ルールを反映させることが重要で、忘れてしまうと思わぬ障害時にログイン出来ない!と言った事象を引き起こすことにもなりかねないので注意してください。

余談ではありますが、VPC以外でEC2を立ちあげつつ、アウトバウンドのセキュリティも高めたいという場合はiptables等によりアウトバウンドのトラフィックについて設定することも可能です。

いかがでしたでしょうか?

上記のように、いくつかの点を注意するだけで簡単にセキュリティを高めることができます。
サーバの立ちあげは、セキュリティ面を十分考慮しておこなうことがとても重要になってきます。

次回は、『Amazon EC2編~EC2インスタンスにPuTTYで接続してみよう!~』と題して、これまで立ちあげ・設定をおこなってきたEC2インスタンスにSSH接続ツールを使って接続してみます。
お楽しみに!

ナレコムではAWSに興味がある、AWSを仕事にしたいクラウドエンジニアを絶賛募集中です!興味がある方はこちらからお問い合わせください。


Amazon EC2インスタンスを立ちあげてみよう!~Amazon Linux編~

先日、アメリカの方でAmazon Elastic Compute Cloud(EC2)のインスタンスファミリーとして新たに、「ハイメモリクラスタインスタンス」が発表されました。

「ハイメモリクラスタインスタンス」とは、インメモリ分析やデータベース、科学技術計算など、メモリ集約型のアプリケーション用に設計された新しいインスタンスです。

大容量のメモリが必要なアプリケーションなどメモリ集約型のアプリケーションにとって、もっともコスト効率のよいAmazon EC2インスタンスになり、他のインスタンスと比較してもより低価格なメモリが提供されます。
現在は米国東部リージョンのみで利用可能ですが、今後数か月の間には、他のAWSリージョンでも使えるようになるそうです。

オンデマンド・リザーブドまたはスポットインスタンスを利用することで、ますますAWSが便利になり使い方の幅も広がりそうですね。

さて、今回はそんなAWSの1つである、Amazon EC2を、OSの1つであるAmazon Linuxで起動させるまでの基本手順について紹介します。

初めてAWS(Amazon EC2)を利用する方や、既に利用しているけどもっと詳細にインスタンスの立ち上げや、その他操作・設定について知りたい!
という方のために、使い方やテクニックを解説していきます。
特にまだAmazon EC2を利用したことがない方には、こんなに簡単にインスタンスの作成ができるのか!ということを実感していただけると思いますので、ぜひお試し下さい。

なお、インスタンスの立ち上げの際は、AWSアカウントにて1年間の無料使用枠もあるので是非、ご利用ください。

※アカウントは下記URL、【Amazon Web Servicesサイト「アカウント作成の流れ」】を見ていただき作成してください!

Amazon Web Servicesサイト「アカウント作成の流れ」

アカウントの作成は出来ましたでしょうか?

それではさっそく、【EC2が立ち上がるまで】を見ていきましょう。

1. まず「Amazon Web Servicesサイト」にアクセスして、トップページ右上にある「サインアップ」を選択します。

20130226_01_01

2. 下記ログインページで登録した「メールアドレス」と「パスワード」を入力して、「Sign in using our secure server」をクリックします。

20130617_02_01

3.ログイン後に以下の画面が表示されますので「AWS Management Console」をクリックします。

20130617_02_02

4.「Sign in to the Aws Console」をクリックします。
※この時、再度ログインページが表示される場合があります。ログインページが表示された場合はログインを行ってください。

20130617_02_03

5. ログイン後に表示されるメニュー画面の「Amazon Web Services」の項目で、「EC2」を選択します。

20130617_02_04

6. 画面左側にあるメニューの中の「Instances」をクリックします。
この時、画面右上にある「リージョン」が「Tokyo」以外になっている場合もあるので念のため、リージョンはチェックしましょう。

20130617_02_05

7. 画面上部にある「Launch Instance」をクリックします。

20130617_02_06

8 .「Classic Wizard」を選択して、「Continue」をクリックします。

20130226_01_06

9.今回はAmazon LinuxでEC2インスタンスを起動しますので、表示されたウィンドウで「Amazon Linux AMI 2013.03.01」を選択、「64bit」に印が付いていることを確認して「Select」をクリックします。
※2013/06/14 現在「Amazon Linux AMI 2013.03.01」となっております。

test04

10. この画面では、「Instance Type」を選択します。
選択をしたら、画面下部の「Continue」をクリック。なお、インスタンスタイプは任意のタイプを選択してください。

20130617_02_09

11. 「Continue」をクリックします。

20130617_02_10

12. 「Edit」をクリックします。

20130226_01_10

13. この画面では、「Volume Size」を設定します。
設定したら「Save」をクリックその後、 「Continue」をクリック。なお、ボリュームサイズは任意のサイズを設定してください。

20130226_01_11

14. 「Key」の項目には、「Name」と入っているかと思います。その項目は何も変更せず、この画面では「Value」の項目を入力して、「Continue」をクリックします。
※「Value」の項目には後から確認しやすいインスタンスの名称を入力してください。

20130226_01_12

15. 「Create a new Key Pair」の項目を選択して「Enter a name for your key pair」の項目で、後から確認しやすいインスタンスキーの名称を英語で入力。その後、「Create& Download your keypair」をクリックします。
※ この時、「pemファイル」がダウンロードされますが、このファイルはEC2起動後、インスタンスに接続する際に使用するので確認しておいてください。

20130226_01_14

16.「Create a new Security Group」の項目を選択します。
「Group Name」項目に後から確認しやすいセキュリティグループの名称、「Group Description」にセキュリティグループの説明(日付等)を入力した後、画面下部の「Continue」をクリックします。

20130617_02_11

17. 下記のような内容の画面が表示されるので選択内容が合っているかを確認し、画面下部の「Launch」をクリックします。

20130226_01_16

18.以下のような画面が表示されます。「Continue」をクリックします。

20130617_02_08

これで、EC2の立ち上げ作業は完了です!

いかがでしたでしょうか?
このようにAmazonクラウドでは、手順に沿って項目を選択していくだけで仮想上にサーバを簡単に立ちあげることができます。

次回は、『Amazon EC2編~基本セキュリティについて~』と題して、EC2インスタンスを守るための基本セキュリティの設定についてお話しますのでお楽しみに!