サイトについて
現役のネットワークエンジニアが、ネットワークエンジニアの仕事内容や必要なスキルなどを紹介するサイトです。 お問い合わせはこちらまで jobdnwengineer@outlook.jpネットワークエンジニアに求められるスキルや知識は、技術革新を経て様々に変化します。特に近年導入が進んでいるパブリッククラウドは、従来のようなハードウェアに制限されることなく、仮想化技術によって実際の運用状況に合せた柔軟な拡張性やコスト削減が魅力ですが、これを安全かつ快適に利用するためのプランニングやメンテナンスが欠かせません。また共有環境を利用するということから、安全性に関する問題意識が高まっており、ネットワークエンジニアにはセキュリティ対策も求められます。
ここでAmazon Web Services(AWS)のセキュリティグループのうち、EC2-ClassicとEC2-VPCがある中で、標準とされているEC2-VPCのセキュリティグループについて紹介します。
|
セキュリティグループとは、AWSにおいてインスタンス単位で適用することが可能なファイアウォール機能を指します。 |
サブネット単位ではないとはいえ、1つのセキュリティグループを複数のインスタンスに適用させることも可能です。
このセキュリティグループでは、インバウンド通信とアウトバウンド通信のためのルールを設定できるようになっており、その設定項目はType、Protocol、Port Range、Source/Destinationの4項目と定められています。Typeではあらかじめ主要なTCP/UDPサービスが登録されていますが、例えば登録されていないプロトコルやTCP/UDPのPortを入力して許可するということもできます。またProtocolとPort Rangeについては、プリセットのサービスを選択した場合には自動的に入力されますが、カスタム設定の場合には、改めてプロトコルとポート範囲を指定して入力しなければなりません。そしてSource/DestinationではFQDNが使えず、IPアドレスで指定する場合には、CIDR範囲で指定することになります。
このセキュリティグループではホワイトリスト方式が採用されており、従って「許可する通信」しか設定できません。そのため例えば実際の運用上、HTTPやSMTPなどのプロトコルは全ての通信元からの通信を許可しなければなりませんが、攻撃を仕掛けるのが明らかなIPアドレスからの通信は拒否したいという場合、やむなくインスタンスのOSの機能で拒否設定をすることになります。またログ機能がなく、トラブルシューティングは主にインスタンスのOS側のログを追跡せざるをえません。
about meIT社会のインフラを支えるネットワークエンジニアの仕事内容や今後の動向などを紹介しているサイトです。
