2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

PowerVS IBM i 日記(74): PowerVS の Network Security Groups(NSG) ではパブリックアクセスは守れない

Last updated at Posted at 2025-03-28

パブリックネットワークからの ssh アクセス許可は全世界へ公開

Docs には「IBM i 仮想マシン (VM) への接続」として ssh トンネリングを使用したパブリック IP 経由でのアクセス方法がガイドされています。

では、これで何が起こるか確認してみましょう。

まず、自分のローカル側のIPアドレスを調べます。

https://www.cman.jp/network/support/go_access.cgi などで自分のIPアドレスを確認します。

image.png

Docs 記載の方法で接続した 5250 の netstat で確認すると、自分以外の IP アドレスからの ssh 接続が確認できます。

image.png

デフォルトの ssh 構成では、パスワード認証も許されています。ssh キーによるアクセスだけに変更しても、ポート自体へのアクセスは許されていますので、いろいろな迷惑行為を受ける可能性があります。

そこで、今回 PowerVS で利用可能になった Network Security Groups(NSG) で、この状況が守れるか確認します。

参考にするのは「PowerVSのNetwork Security Groups(NSG)を試してみる」です。

Network Security Groups(NSG) ではパブリックアクセスは守れない

PowerVSのNetwork Security Groups(NSG)を試してみる」によれば、

Security Groupsで保護できるのはPrivate側インターフェースのみ。Public IP(External IP)が付いているインターフェースはSecurity Groupsの保護対象にできない。

え、解散! ... なのですが、これは日記なので、実際にどう守れないか確認したいと思います。

ワークスペースの用意

Security Groupsに対応しているワークスペースでは、左側のメニューのNetworkingの配下にNetwork security groupsのメニューが表示されています。

先月(2025/02/08)作った PER 対応のワークスペースが あります。

image.png

表示されません...orz

新規に作成したPER対応ワークスペースで利用可能です。

と書いてあります。そうですか...

image.png

新しくワークスペースを作りました。

気がついたのですが、ワークスペースの切り替えで、ここの表示に時間がかかっています。対応しているかチェックして、対応していれば表示される仕組みのようです。
下記のイメージの赤枠内はマスクしているのではなく、ローディング中の表示です。

image.png

なるほど。新しく作った方では表示されました。本当に「新規に作成したPER対応ワークスペース」でした。
現時点では、PER 対応なら OK というものでは無く「NSG が利用可能になってから新規作成したワークスペース」なんですね。

image.png

既存ワークスペースは6月までに順次対応するようです。

これは PER 対応していないワークスペースへのメッセージで、PER に移行していないワークスペースも、6月までには PER 対応に移行されるので、それに対するものと誤解していました。
確認していませんが、Case で依頼すれば先だって移行してくれるかもしれません。

デフォルトではSecurity Groupsはワークスペースに対し有効になっていない

NSG はワークスペース・レベルの設定です。

image.png

有効化してみます。しばらく時間がかかるようです。

image.png

有効になりました。

image.png

IBM i インスタンスの用意

パブリック・ネットワークを持った IBM i インスタンスを作りました

image.png

これまでやってきた通り、ssh トンネルで 5250 を接続します。
いつも通り接続されました。

image.png

NSG の構成

NSG を構成していきます。

有効にした直後は、全てallowの状態

デフォルトのルールがあります。

image.png

すべて Allow です。

image.png

https://www.cman.jp/network/support/go_access.cgi などで自分のIPアドレスを確認します。

image.png

「ネットワーク・アドレス・グループ」を作ります。

image.png

今回は /32 で先ほど確認した IP だけに絞ります。複数の CIDR の追加が可能です。

image.png

ネットワーク・セキュリティ・グループに戻り「ルールの作成」を行います。

image.png

先ほど作成した「ネットワーク・アドレス・グループ」からの TCP ポート 22 の許可ルールを作ります。

image.png

「TCP」でルールを作成したので、そちらのタブに表示されました。

image.png

外部アドレスからの Allow を「削除」します。

image.png

IBM i インスタンスをメンバーに追加します。

image.png

IBM i インスタンスを選択します。

image.png

パブリックネットワークのインターフェースを選択し「メンバーの追加」を選びます。

image.png

えっ? もしかして構成できる? と思ったら、ここでエラーになりました。

image.png

拡大すると、このようなメッセージです。

image.png

選べるのは UI のバグで修正予定

Case で問い合わせたところ、パブリックネットワークのインターフェースが選べてしまうことが、バグなのだそうです。
選択できないように修正するとのことでした。

As per our backend team: NSG is only for private interfaces. It's a bug in UI to list the public interfaces to add as member to NSG, which our developers are working to solve. Please select only private interface for NSG.

結論: パブリックネットワーク経由のアクセスは許可しないことを推奨

最初に述べたとおり、パブリックネットワーク経由のアクセスは全世界に解放されています。仮にログオンできなくても TCP レベルの接続は許してしまいます。
NSG での保護を期待しましたが、それが出来ないことが確認できました。

PER 環境であれば「PowerVS IBM i 日記(67): PER 環境の利用(4) - VPC Linux の sshd 経由で 5250 接続する」でご紹介したように、より安全で比較的構成が容易な VPC 経由でのパブリック環境からのアクセスを構成することが可能です。
もちろん、費用と構成工数が許せば、VPC VPN 経由の接続を構築してもいいでしょう。

いずれにしても、PowerVS インスタンスへ、直接パブリックネットワーク経由のアクセスを許可しないことを、安全性のために推奨します。


当日記のIndexはこちらです。


許可の無い転載を禁じます。
この記事は筆者の個人的な責任で無保証で提供しています。
当記事に関してIBMやビジネスパートナーに問い合わせることは、固くお断りします。

2
1
2

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?