本コラムは、GMOクラウド株式会社の特設サイトに掲載されている「GMOクラウドアカデミー ~あなたの興味が知識に変わる」より転載したものです。GMOクラウドアカデミーは、クラウド・ホスティングの「悩み」「問題」「課題」の解決を目的に、現場の声を集約した「生きた」コンテンツを提供します。今回は、コンソールと呼ばれるGUIの管理画面を用いてファイアーウォールを設定する方法を紹介します。
【利用シーン】仮想サーバーを新たに立ち上げるとき
クラウドサービスで提供されている、コンソールと呼ばれるGUIの管理画面を用いてファイアーウォールを設定する方法です。
ファイアーウォールとは、インターネットからの不正なアクセスを遮断し、必要な通信のみを許可する機能です。Linux系OSに実装されているiptablesや、Windows系OSに実装されているWindows Firewall機能のように、サーバー上のOSにも基本的に標準で装備されています。しかし、Linux系OSはコマンドを使って操作するため、設定はかなり面倒。さらに、OSごとの操作方法の違いなどもあり、悪くすると設定を間違えてしまうおそれもあります。もし設定ミスしてしまうと、例えばサーバーへのログインが行えなくなり、サーバーの操作が何も出来なくなるような事態や、定義したルール通りにフィルタリングが行われず、外部からの攻撃や情報漏えいなどの事故が発生するリスクが高まってしまいます。
OSの機能としてのファイアーウォールではなく、クラウドの機能としてのファイアーウォールを設定するこの方法を使うことで、設定はぐっと楽になり、単純なミスを防ぐこともできます。また、Amazon社やGMOクラウド社の提供しているクラウドサービスでは、セキュリティグループという機能が提供されています。セキュリティグループ機能を利用すれば、個々の仮想サーバーに対していちいちファイアーウォールの設定を行う必要がなくなるため、作業の負荷を大幅に軽減することが可能です。
なお、クラウドによっては、ファイアーウォールの設定をセキュリティグループで一括して設定する場合と、個々の仮想ルーターで場合があります。仮想ルーターでファイアーウォールを設定する方式であれば、仮想サーバーより上位のレイヤーでフィルタリングを行うことになり、サーバーに対する不正なアクセスは全て遮断できるため、よりセキュアなネットワーク環境が実現します。
いくら素晴らしいWebサイトを作っても、セキュリティがおろそかになってしまっては台無しです。
セキュリティを高めるためには、ファイアーウォールやセキュリティグループを利用して通信を許可するポートやCIDRを適切に設定することがとても重要です。
特に、狙われやすいポートには制限をかけましょう。
SSH、FTP、リモートデスクトップなど、仮想サーバーへログインするプロトコルは特に狙われがちです。
ファイアーウォールやセキュリティグループの設定を行い、接続元の制限をかけ、パスワードなどのアカウント情報をランダムな英数字にすることがお客さまのサーバーを安全に保つための第一歩です。
※ご利用中のクラウドサービスによっては、利用できない場合があります。
【用語解説】フィルタリング
選別などの意味がある英単語で、ここでは、通信パケットの選別を指します。ファイアーウォールなどの機能は、仮想サーバーへの通信を許可するか拒否するかの選別を指すことになります。【用語解説】コンソール
ここでは、クラウドサービスを操作・管理するための画面になります。仮想サーバーの作成・削除や、ネットワークの管理などを行うことが可能です。【用語解説】インバウンドとアウトバウンド
パケットがWAN側からLAN側に流れることをインバウンド、反対にLAN側からWAN側に流れることをアウトバウンドと呼びます。
GMOクラウドALTUSでの利用方法
GMOクラウドALTUS Isolateシリーズ(以下、Isolateシリーズ)では仮想ルーターで、ファイアーウォールの設定を行います。 GMOクラウドALTUS Basicシリーズ(以下、Basicシリーズ)では作成したセキュリティグループと仮想サーバーを紐付けることで、ファイアーウォールの設定を行います。 ALTUSのファイアーウォールは、安全を考慮し以下のような初期設定になっています。
・対象IPアドレスの初期設定(Isolateシリーズ)
外部→内部(インバウンド):すべて拒否
内部→外部(アウトバウンド):すべて許可
・セキュリティグループの初期設定(Basicシリーズ)
外部インターネットからの通信(受信規則) :すべて拒否
仮想サーバーから外部への通信(送信規則):すべて許可
・ポートの初期設定
すべて閉鎖
初期設定のままでは外部から通信ができないため、各社ごとのセキュリティポリシーに従って、外部からの通信を許可するIPアドレス範囲と、仮想サーバーからの外部への通信を制限(拒否)するIPアドレス範囲を指定した上で、仮想サーバーが利用するすべてのポートを開く必要があります。
なおBasicシリーズの場合は、仮想ルーターや仮想サーバーごとに行う必要はなく、事前に作成しておいたセキュリティグループを指定するだけで済みます。
ちなみに下図は、セキュリティグループで、1つのIPアドレスからのみ接続を許可する場合のCIDR記述例になります。
【操作手順】
「参照ページ」はALTUS Basicシリーズ、Isolateシリーズのサポートページになります。
(1)ALTUSのコンソールにログインします。
〈参照ページ〉コンソールガイド(Basicシリーズ)
〈参照ページ〉コンソールガイド(Isolateシリーズ)
(2)ファイアーウォールの設定を行います。
〈参照ページ〉セキュリティグループの作成(Basicシリーズ)
〈参照ページ〉ファイアーウォールの設定(Isolateシリーズ)
ALTUSサービスについてもっと知りたいことがございましたらフォームへお問い合わせください。
本コラムは、GMOクラウド株式会社の特設サイトに掲載されている「GMOクラウドアカデミー ~あなたの興味が知識に変わる」より転載したものです。GMOクラウドアカデミーは、クラウド・ホスティングの「悩み」「問題」「課題」の解決を目的に、現場の声を集約した「生きた」コンテンツを提供します。