本コラムは、GMOクラウド株式会社の特設サイトに掲載されている「GMOクラウドアカデミー ~あなたの興味が知識に変わる」より転載したものです。GMOクラウドアカデミーは、クラウド・ホスティングの「悩み」「問題」「課題」の解決を目的に、現場の声を集約した「生きた」コンテンツを提供します。
【利用シーン】webサーバーやメールサーバー、データベースサーバーなどを個別のネットワークで運用したいとき
企業のシステムは、受発注や会計処理、生産管理などに使われる業務系システムと、メールやグループウェア、社内ポータルなど、社内のコミュニケーションや情報共有に使われる情報系システムに大別されます。一般的には業務系システムの利用者は社内の従業員に限られますが、用途によっては関連会社や取引先の担当者に利用を認めている場合もあります。一方、Webサーバーやメールサーバーなど情報系システムの多くは、社内/社外の両方からアクセスできることが多いようです。 このように用途やセキュリティレベルが異なるさまざまなサーバーを、安全に運用するにはどうすればよいのでしょうか。
例えば社内のすべてのシステムをファイアーウォールの内側に設置すれば安全かというと、そうでもありません。仮に社外にも公開されているWebサーバーが不正アクセスなどの手段で乗っ取られてしまった場合、その被害は同じセグメント上に存在する業務系システムに及ぶ可能性があります。かといって、業務システムをファイアーウォール内に置き、Webサーバーやメールサーバーはファイアーウォールの外に設置するやり方では、業務システムは安全でも、公開サーバーの安全性が下がってしまいます。
こんなときに役立つ方法がこちら、複数の仮想ルーターを立て、ネットワークのセグメンテーションを行う方法です。公開サーバーをDMZ(インターネットと社内ネットワークの中間に置かれるセグメント)に設置し、業務系システムなどの社内サーバーとは別のセグメントで管理することで、仮に公開サーバーが攻撃を受けた際も、社内サーバーを守ることが可能になります。
ところで、従来のパブリッククラウドは、フラットなネットワークしか構成できない場合がほとんどでした。そのため、ネットワークを複数のセグメントに分ける際は高価なプライベートクラウドを使わざるを得ず、また「パブリッククラウドはセキュリティが不安」という懸念につながっていました。
しかしここ最近のパブリッククラウドは、複数の仮想ルーターに対応しているケースが多く、ネットワークのセグメンテーションも容易に行えます。それゆえ、サーバーの用途別、あるいはセキュリティレベル別に仮想ルーターを立てることができ、それぞれを独立したネットワークとして運用できるようになりました。これにより、セキュリティの確保だけでなく、ネットワークの管理・運用の効率化、負荷分散といった効果も期待できるようになったのです。
また、サーバーをオンプレミスで運用している場合、社内のネットワークをVLAN(Virtual LAN)でセグメント分けしている企業も多いことでしょう。こうした環境をクラウド化する際にも、複数の仮想ルーターを立ててネットワークをセグメント化することで、既存のネットワーク構成のまま短期間で移行することが可能です。
【用語解説】仮想ルーター
クラウド上でネットワークを管理するために仮想化されたルーターのことを指します。仮想サーバーは、仮想ルーターのセグメント内に配置されるため、セキュアなネットワークを構成できます。
GMOクラウドALTUS Isolateシリーズ(以下、Isolateシリーズ)では、複数の仮想ルーターを作成でき、用途に合わせて専用セグメントを構成することが可能です。 Isolateシリーズで提供している仮想ルーターは、この専用セグメント機能に加え、ファイアーウォールやロードバランサー、リモートアクセスVPN、NAT、ポート転送といった各種機能を標準で搭載し、仮想サーバーの用途や目的に合わせた設定を行うことができます。 また、仮想ルーターそのものも3種類のモデルを用意。転送量の変動やシステムの拡張に合わせてプランを変更できます。
【操作手順】
「参照ページ」はALTUS Isolateシリーズのサポートページになります。
(1)ALTUSのコンソールにログインします。
【参照ページ】コンソールガイド
(2)仮想ルーターを作成し、ネットワークの設定を行って専用セグメントを構築します。
【参照ページ】ネットワーク(仮想ルーター)の作成
ALTUSサービスについてもっと知りたいことがございましたら下記フォームへお問い合わせください。