- PR -

サーバのNW構成について

1
投稿者投稿内容
pico
会議室デビュー日: 2008/01/12
投稿数: 7
投稿日時: 2008-01-12 19:44
サーバのNW構成で少々行き詰っております。皆様、お知恵をお貸し
いただけないでしょうか。

以下の条件を元に、サーバのNW構成を考えております。
・単一障害点が無いように。ただし全てActive構成にし、
 遊んでいるサーバが無いように
・社外向けWebサーバを公開する
・社外向けsmtpサーバを公開する
・社内向けWebサーバを公開する
・社内向けメールサーバを公開する
・できる限りセキュリティは高くする

以下、検討中の構成です。

 [internet]
 |     |
router router     
 |     |
=======================     
 |   |
 |   FW------| ←FWはVRRPで冗長化
 FW--+-------||
 |   |      ||
 |   | ======================================== ←DMZ領域
 |   | || || ||   ||  ||  ||  ||  ||  ||  ||
 |   | LB LB smtp smtp SSL SSL web web DNS DNS ←LBとRPはhearbeatで冗長化
 |   |              &RP &RP
 |   |
========================================================= ←内部サーバ領域
||   ||   ||   ||  || || || ||  ||  || || ||
web web smtp smtp AP AP DB DB DNS DNS FW FW
        &pop &pop                  |   |
                                 |   |
--------------------------------------------------- ←内部クライアント領域
  |     |  |  |   …
  |     PC PC PC  …
  FW
  |
 router
  |
 [internet]

以下、説明です。
・上側の[internet]は社外からのアクセス+内部smtpサーバのメール送信用
・下側の[internet]は社内からのインターネット用
・DMZのweb/DNS/smtpサーバは社外向け
・内部サーバ領域のweb/DNS/smtpサーバは社内向け
・DMZのSSL&RP(SSLアクセラレータ&リバースプロキシ)はweb用
・DMZのLB(ロードバランサ)はRP/DNS/smtp用
・APへの振り分けはwebが行う
・DBへの振り分けはAPが行う

上記構成について、以下、質問をさせてください。
1. LBをFWに含めることで、パフォーマンス以外に懸念されることは
  ありますでしょうか?
2. 1.に加えて、SSL&RPをFWに含めることで、パフォーマンス以外に
  懸念されることはありますでしょうか?
3. DMZにはwebを置かず、DMZのRPには内部のwebにアクセスさせる、という配置で
  何か懸念されることはありますでしょうか?また、そうすること(DMZにwebを
  置かないこと)で、セキュリティの向上はありますでしょうか?どちらの構成で
  あろうとも、例えば
   a) DMZにwebを配置して、RPからのポート80へのアクセスのみ許可する
 b) DMZにwebを配置せず、FWのDMZ→内部サーバ領域へのアクセスについて、
     RPから内部webのポート80へのみ許可する
  とすれば、セキュリティ面は変わらないように思うのですがいかがでしょうか?
  だとすると、APもDBも、どの内部サーバについてもDMZに置いても構わない、
  ということになるのではと思うのですが・・・。
  サーバ自体でアクセス制御を行うのと、FW専用機でアクセス制御を行うのと、
  セキュリティ面で何が異なるのでしょうか?
4. web/AP/DBを別々にしようが一緒にしようが、セキュリティ面では変わらない
(webが乗っ取られればwebの権限でAPを自由にできる⇒自由なSQLをDBに実行
  することができるため、結局DBのデータまで漏洩してしまう)と思うのですが、
  それは正しいのでしょうか?APが乗っ取られればAPの権限でDBに好きなSQLを
  実行させられてしまう、ということは確かだと思うのですが、webを乗っ取った
  だけでも同じことになるのか、イマイチ理解できておりません。
5. 4.に関連して、RPが乗っ取られるのとwebが乗っ取られるのは、セキュリティの
  面では同等だと考えて良い(どれくらい手間がかかるかは別として、どちらも
  盗める情報は同じ)のでしょうか。

長くなりましたが、皆様、どうかよろしくお願いいたします。


[ メッセージ編集済み 編集者: pico 編集日時 2008-01-13 18:20 ]
みそさん
会議室デビュー日: 2008/01/09
投稿数: 5
投稿日時: 2008-01-18 20:17
出来る限り答えてみようと思います。

まず気になった点としてスイッチは冗長化されないのでしょうか。
LBをHeatbeatで冗長化とありますがソフトウェアで処理させるのでしょうか。

>1.LBをFWに含めることで、パフォーマンス以外に懸念されることはありますでしょうか?

いわゆるUTM製品でしょうか。個々で購入するより社内での機器管理、コストは抑える事が
出来ますので選択のひとつとして入れてもいいと思いますが色々問題点はあるようです。
(全ての機能を独自で開発しているメーカーの場合、どうしても個々の製品に比べると
 品質が落ちる。各機能を各メーカーから集めている場合はまた色々と問題が・・・)
ただ個々に導入するとそれなりにN/Wの知識が無いとトラブル時にとまどうと思います。

>2. 1.に加えて、SSL&RPをFWに含めることで、パフォーマンス以外に
>  懸念されることはありますでしょうか?

SSLアクセラレーター(H/W側で処理させる)という事でしょうか。
コストがかかるのと、SSL証明書のインストールに若干とまどうかもしれません。

>4. web/AP/DBを別々にしようが一緒にしようが、セキュリティ面では変わらない
>(webが乗っ取られればwebの権限でAPを自由にできる⇒自由なSQLをDBに実行
>  することができるため、結局DBのデータまで漏洩してしまう)と思うのですが、
>  それは正しいのでしょうか?APが乗っ取られればAPの権限でDBに好きなSQLを
>  実行させられてしまう、ということは確かだと思うのですが、

その通りじゃないでしょうか。だからこそ外部向けに通信する必要があるサーバ
(ここでいうならWEB?)のセキュリティ(バージョン管理、アクセス権限の管理)を
徹底する必要があるのだと思います。

>webを乗っ取っただけでも同じことになるのか、イマイチ理解できておりません。
>5. 4.に関連して、RPが乗っ取られるのとwebが乗っ取られるのは、セキュリティの
>  面では同等だと考えて良い(どれくらい手間がかかるかは別として、どちらも
>  盗める情報は同じ)のでしょうか。

そこはWEB開発者と十分に協議する必要があるのでは?と思います。
pico
会議室デビュー日: 2008/01/12
投稿数: 7
投稿日時: 2008-01-19 00:37
みそさん様

お返事ありがとうございます。
スイッチも冗長化したいと考えております、===========でスイッチが2つあるということを表していたつもりだったのですが、わかりづらかったですね。。。すみません。

FWについては、FortiGateやSonicWALLといったアプライアンスにするか、Linuxにするか、迷っております。

あるいはLB付のアプライアンス(まだどのようなものがあるかは調べていません)にするか、iptables+LVS+heartbeatにするか・・・。楽なのはアプライアンスだとは思うのですが、コスト的にどうなのかな?と思っております。

SSLアクセラレータについては、SSLラッパでwebサーバのSSL処理の負荷を無くしたいと思っております。LinuxでやるならpoundやApacheのモジュールを入れるなどすれば良いかな、と思ったのですが、FWの位置でそれをさせると負荷が高すぎる気がしています。

わかりやすいのはすべてバラバラに導入、ということだとは思うのですが、そうするとサーバが多くなりすぎるので、ちょっと勿体ないかな、と。このような大がかりなものを構築したことがないので、さじ加減がイマイチわかっておりません。。。

サーバを2台ずつ置くことになるので、あまりサーバの無駄遣いはしたくない(スタンバイ状態でほとんど出番の無いサーバは極力少なく)したいな、と考えているのですが、FWとLBとSSL&RP辺りが最もボトルネックが出やすいのであればこれらは分けておきたいですし、そうでないのであればこれらは一つにしてしまおうかな、と思っています。

まぁどこがネックになるかはケースバイケースなので、実機で検証するしかないのかもしれませんが、できれば検討しても無駄な構成は、あらかじめ排除しておきたいな、と思い、質問させていただいております。

引用:

>5. 4.に関連して、RPが乗っ取られるのとwebが乗っ取られるのは、セキュリティの
>  面では同等だと考えて良い(どれくらい手間がかかるかは別として、どちらも
>  盗める情報は同じ)のでしょうか。

そこはWEB開発者と十分に協議する必要があるのでは?と思います。


すみません、上記の意味がちょっとわかっていないのですが、どういった意味でしょうか?私の質問としては、RPはwebサーバにあるコンテンツは全てアクセス可能なので、RPサーバが乗っ取られてしまえばwebサーバが乗っ取られたも同然である、という考えで良いのかどうかが知りたいのですが、WEB開発者が絡んでくるのはどういった辺りでしょうか。XSSやSQLインジェクションなどの話、でしょうか。
1

スキルアップ/キャリアアップ(JOB@IT)