仮想ネットワークは、オンプレでいうところのサーバラックとスイッチであり、ネットワークセキュリティグループがFWだ。そして仮想ネットワークは、AWSでいうところのVPCである。
仮想ネットワーク(Vnet)
ポイント
仮想ネットワークはネットワークアドレスやサブネットを決める部分である。
ネットワークに疎いエンジニアは多いかと思う。昨今新規でネットワークを作ることが少ないからだ。しかし、クラウドを使うときに、このネットワーク知識は必須である。必ず、慣れるように勉強することが大切だ。
参考になる本を挙げておく。
- ネットワーク技術&設計入門(SB Creative みやたひろし)
- 図解ネットワーク仕事で使える基本の知識(技術評論社)
- イラスト図解式 セキュリティの基本(SB Creative)
ネットワークアドレスとサブネットの決め方
システムのアドレス体系の内、サブネットが何個必要か?を考えること。アプリケーションサーバ、データベース層で使用するIPアドレスは何個必要か?ということも考えないといけない。
これには、さまざまなサイトがあるためこのページでの詳細説明は割愛する。苦手な人は以下を参考に。
参考例:
Vnetを192.168.100/24とする。
サブネットは4個必要(AP二つ、データベース二つ)であり、拡張性は考えないとすると以下のようになる。/28とすると.00000000の左側の組み合わせの数だけサブネットアドレスに使える。
192.168.100.16/28
192.168.100.32/28
192.168.100.64/28
192.168.100.128/28
.....
設計のポイント
ポイント
サーバ間の階層でちゃんとサブネットを分けましょう。
ネットワークセキュリティグループ(NSG)
デフォルトの画像は上記のとおりである。このままではすべてのネットワーク通信を許可してします。
ポイント
NSGで絶対に受信と宛先ポート、ソースIPは絞りましょう
クラウドは、そのサービス特性上インターネットにさらした瞬間に、外部から攻撃を受けることになります。ポートスキャンだったり、パスワードが弱かったらリモートデスクトップ接続でサーバごと乗っ取られる可能性があります。
なお、NSGを作成したら、かならずサブネットと紐づけを行いましょう。
専用線接続 (Express Route)
一番良い方法は、グローバルIPを持たないことです。専用線(AzureであればExpress Route)でシステムを構築することです。しかし、これは利用料が高いです。また、クラウドを使う上では、やはり、インターネット接続はさけては通れません。お客様に提案し、お金よりもセキュリティという話になれば、Express Routeを使用しましょう。
NSGフローログ
ポイント
フローログも必ずオンにしましょう。
まだ、クラウド利用に慣れていない場合は、固有データを使わずに、フローログをオンにして、NSGで防御策をしっかりとった後、外部にさらしてみてください。どこかしらの国からアタックされていることがわかります。
フローログを有効にできない場合
デフォルトでは、microsoft.insightsが有効になっていないため、フローログを有効にできません。下記画面を参考にサブスクリプションサービスから有効にしましょう。
さいごに
クラウドは怖いからと利用を避けるのではなく、今までの経験を活かし、クラウドの仕組みを正しく理解し、防御策を整えることでクラウドを活用しましょう。
