ファイルをクラウドに送ってもらうにはどうするの?――リモート管理とデータ転送を安全に行うための基礎知識:親子の会話から学ぶクラウドセキュリティ(4)
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境でリモート管理とデータ転送を安全に行うための基礎知識について。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する本連載「親子の会話から学ぶクラウドセキュリティ」。
初回は、クラウドを始める前に覚えておきたいセキュリティの基礎知識、第2回はネットワーク関連セキュリティ、第3回はセキュリティの運用・監視に関する内容について解説しました。今回は、クラウド環境でリモート管理とデータ転送を安全に行うために必要な基礎知識についてです。
管理者のアクセスはユーザーと同じじゃだめなの?
さて、今日もサーバを管理しようかな。
今日もがんばっているわね。あら、そのリンクから管理者の画面に行けるのかしら? ユーザーも管理者の画面が見られるの?
パスワードはかけてあるよ。でも、管理者のアクセスはユーザーと同じじゃだめなの?
ユーザーと同じようにインターネットから直接アクセスして、管理できるようにすると、攻撃を受けるリスクが高まるのよ。管理者は踏み台サーバを利用して、直接アクセスしないようにしましょうね。
クラウドサーバにはリモート管理が必須です。一般的に、クラウドサーバの管理といえばSSH(Secure Shell)によるアクセスが主流だと思いますが、管理用のWebインタフェースなどが存在するサーバや機器なども存在します。専用のクライアントで特定のポートにアクセスするものもあるかもしれません。そういったものを、管理のためとはいえ、インターネットから直接アクセス可能な状態にしておくのは、攻撃を受けるリスクが高くなり、非常に危険です。インターネットからアクセス可能な機器は「SHODAN」や「Censys」などの検索エンジンで検索可能です。想定していないサービスがインターネットに公開されていないか、確認しておきましょう。
管理アクセスには踏み台サーバを用意し、そこからのアクセスのみを許可する設定をお勧めします。踏み台サーバに対するアクセスは、SSHと公開鍵認証によるアクセスのみを許可する構成にすると安心です。
インターネットに公開するポートが増えれば増えるほど、管理やセキュリティ対策のコストは増加します。特にデータベースサーバなどのインターネットに公開していない機器のポートを、管理のためだけに開けることはお勧めできません。管理アクセスはできるだけ集約し、不正なアクセスを検知・防御しやすくしましょう。
Amazon Web Services(AWS)では、踏み台サーバ構築手順に関するドキュメントを公開しており、その中で高可用性とセキュリティに関するベストプラクティスについて触れています。
踏み台サーバはPublic subnetに置き、Private subnet上のインスタンスに対して管理アクセスを行うようにします。セキュリティグループの設定により、必要なアクセスのみを許可するように設定しましょう。
どうやってファイルをクラウドに送ってもらうのがいいかな?
関連記事
クラウドセキュリティの強化には、IAMとCASBの組み合わせが必要
アイデンティティー管理は今後の企業におけるクラウドセキュリティの要といえる。だが、カバーできない部分もある。これを補完するために検討したいのが、クラウドアクセスセキュリティブローカーの活用だ。
Microsoft、Google、AWSも取得した「ISO/IEC 27018」とは?
クラウドセキュリティに関するISO規格、「ISO/IEC 27017」と「ISO/IEC 27018」について、事例とともに解説します。
クラウドセキュリティのメカニズムとテスト
仮想化はクラウドへの移行を後押しする大きな理由になりますが、それに伴って生じるセキュリティやパフォーマンスへの影響を、慎重に考慮しなければなりません。この記事では、そのリスクを可視化し、うまく制御していく方法を紹介していきます。(編集部)
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。