AWS勉強備忘録3 - DMZ（非武装地帯）とセキュリティ戦略

DMZ（非武装地帯）とセキュリティ戦略

第1部: DMZとは何か？

1. DMZの基本概念

DMZ（DeMilitarized Zone、非武装地帯）は、ネットワークセキュリティアーキテクチャにおいて、内部ネットワーク（企業のプライベートネットワークなど）と外部ネットワーク（インターネットなど）の間に設置される隔離されたネットワークセグメントを指します。このセグメントの目的は、公開が必要なサービス（例えば、ウェブサイトのホスティングなど）を提供しつつ、内部ネットワークを保護することにあります。

2. 内部ネットワークへの侵入を防ぐ理由

• 不正アクセスの防止: ネットワークレベルでの防御は、攻撃者が内部ネットワークに侵入することを防ぎます。これには、ファイアウォールによる不正なトラフィックの遮断や、DMZを通じて公開サービスと内部システムの間に隔離層を設けることが含まれます。
• 攻撃の検出と対応: IDSやIPSは、ネットワークを通過するトラフィックを監視し、攻撃パターンや不審な振る舞いを検出することで、早期にセキュリティ侵害を警告します。これにより、攻撃の影響を最小限に抑え、迅速な対応が可能になります。
• 脆弱性の緩和: ソフトウェアやシステムには欠陥が存在する場合があります。ネットワークレベルでの防御対策は、これらの脆弱性を悪用される前に追加の保護層を提供します。たとえば、ファイアウォールは未認証のアクセスを阻止し、DMZは攻撃者が直接内部システムにアクセスするのを防ぎます。

3. DMZの必要性

DMZは、複数のセキュリティ層を通じてネットワークを保護する「防御の深化（Defense in Depth）」戦略の原則に基づいています。攻撃者が内部ネットワークにアクセスするためには、複数のセキュリティ層を突破する必要があり、その過程で攻撃を検出し阻止するチャンスが増えます。DMZによって、攻撃者が直接内部ネットワークに侵入するのを防ぎ、万が一公開サービスが侵害されても、その影響をDMZ内に限定し、内部ネットワークへの直接アクセスが防がれるため、重要なデータやシステムの保護が強化されます。

4. DMZの配置とセキュリティ

DMZは、通常、2つのファイアウォールに挟まれた形で設置されます。一方のファイアウォールはインターネットとDMZの間に、もう一方はDMZと内部ネットワークの間に配置されます。これにより、DMZ内のサービスは外部からアクセス可能ですが、内部ネットワークへのアクセスは厳しく制限されます。

第2部: ファイアウォールの役割と配置

1. ファイアウォールとは

ファイアウォールは、ネットワークの入り口でトラフィックを監視し、設定に基づいて不正なアクセスやデータの流れを制御するセキュリティデバイスまたはソフトウェアです。ファイアウォールは、許可された通信のみを通過させ、不審なトラフィックは遮断することで、ネットワークのセキュリティを強化します。

2. 二重ファイアウォール構成にすべき理由

DMZアーキテクチャにおいては、しばしば二重ファイアウォール構成が採用されます。この構成では、一つ目のファイアウォールが外部ネットワークとDMZの間を守り、二つ目のファイアウォールがDMZと内部ネットワークの間のセキュリティを確保します。この二つのファイアウォールによって、DMZ内のサービスが侵害された場合でも、攻撃者が内部ネットワークに侵入することを困難にします。

2-1. なぜ2つのファイアウォールが必要か

• 階層化されたセキュリティ: ネットワークセキュリティの基本原則は「防御の深化」です。複数の防御層を設けることで、攻撃者が内部ネットワークに到達するためには複数の障壁を突破しなければならず、侵入の難易度が高まります。

• リスクの分離: DMZに配置されるサーバは、インターネットからアクセス可能であるため攻撃のリスクが高いです。第一のファイアウォールはインターネットからDMZへのアクセスを制御し、第二のファイアウォールはDMZから内部ネットワークへのアクセスをさらに厳格に管理します。この設計により、DMZ内のサービスが侵害されたとしても、攻撃者が内部ネットワークにアクセスすることを防ぐことができます。

• アクセス制御と監視の強化: 2つのファイアウォールを使用することで、DMZへの入口と出口の両方でトラフィックをより細かく制御し、監視することが可能になります。これにより、不正な活動や攻撃の試みを早期に検出し、対応することができます。

2-2. なぜ一つのファイアウォールでは不十分か

単一のファイアウォールを使用した場合、そのファイアウォールが侵害されると、攻撃者は直接内部ネットワークへのアクセスを得ることができてしまいます。また、単一の防御点では、攻撃の検出や対応が遅れる可能性があり、一度侵害されるとシステム全体が危険にさらされることになります。

2つのファイアウォールを配置することで、セキュリティは層を重ねることができ、一つの層が突破されたとしても、もう一つの層で防御を継続することが可能になります。これは、ネットワークセキュリティにおける「最後の砦」としての役割を果たし、内部ネットワークの保護を最大化するための戦略です。

3. Q&A

3-1. 二つのファイアウォールが同じ設定でもセキュリティは向上するか

二つのファイアウォールが同じ設定である場合、セキュリティの層を追加することで攻撃を防ぐ「追加のチャンス」は増加します。しかし、異なる設定やポリシーを適用する方がより高いセキュリティ効果を期待できます。異なる種類の攻撃や脆弱性に対処するためには、それぞれのファイアウォールで異なるセキュリティポリシーを設定することが重要です。

3-2. FW1つで1.0×10の7乗回中1回攻撃が通る場合、同じ設定のFWを2つにすれば1.0×10の14乗回に1回しか攻撃が通らなくなるか

一概には言えません。2つのファイアウォールが全く同じ設定であっても、階層化されたセキュリティを構築することには一定の効果がありますが、最大限のセキュリティを確保するためには、それぞれのファイアウォールで異なるルールやポリシーを設定することが望ましいです。異なる構成を持つファイアウォールを利用することで、一つのファイアウォールを突破された場合でも、別の視点からセキュリティを提供し、リスクを低減させることができます。

3-3. 同じ設定のファイアウォールを二重にした場合の効果は

二つのファイアウォールが全く同じ設定であっても、攻撃を検出し防ぐための「追加のチャンス」を提供します。一つ目のファイアウォールを何らかの方法で攻撃者が突破した場合、二つ目のファイアウォールがさらなる防御の機会を提供し、不正アクセスや攻撃を阻止する可能性があります。しかし、同じ設定を持つファイアウォールを連続して使用することは、一つのファイアウォールに存在する脆弱性や設定ミスが両方に適用されるため、最適な戦略とは言えません。

第3部: DMZ内で提供されるサービスと攻撃緩和戦略

DMZでホストされる典型的なサービス（DMZの構成要素）

DMZ内でホストされるサービスは、一般に外部からのアクセスが必要とされるものであり、以下のようなサービスが含まれます：

• ウェブサーバー: 公式ウェブサイトやブログなど、認証を必要としない情報を提供します。
• メールサーバー: メールの送受信を管理し、外部とのコミュニケーションをサポートします。
• FTPサーバー: ファイルのアップロードやダウンロードを提供し、外部からの資料共有を可能にします。
• アプリケーションサーバー: 特定のウェブアプリケーションやAPIへのアクセスを提供しますが、これらは限定的なアクセス制御下で運用されるべきです。

DMZによる攻撃の緩和

DMZの役割は、公開されたサービス（ウェブサーバー、メールサーバーなど）をホストしながら、内部ネットワークを保護することにあります。そのため、DMZは以下のような攻撃から内部ネットワークを守る役割も担っています：

• DoS（Denial of Service）攻撃: 大量のリクエストを送り、サービスを利用不能にしようとする攻撃。DMZに配置されたサービスが対象となることが多いです。

• Distributed DoS（DDoS）攻撃: 複数の攻撃元から同時に大量のトラフィックを送ることで、サービスをオーバーロードさせる攻撃。

• 侵入検知システム (IDS) と侵入防御システム (IPS): ネットワークトラフィック監視により不正なアクセス試みや異常なパターンを検出し、リアルタイムで以下のような攻撃者の特徴や振る舞いを検出することができます：

  • 不正なアクセス試行: 認証情報の総当たり攻撃や、既知の脆弱性を悪用しようとする試みなど。
  • 異常なトラフィックパターン: 通常のネットワーク利用パターンとは異なる大量のリクエストや、特定の時間帯に集中したアクセスなど。
  • 既知の攻撃シグネチャ: 攻撃ツールやマルウェアが生成する特定のトラフィックパターンや、特有の通信プロトコルの使用など。

  これらのシステムは、不審な活動を検出した場合に警告を発し、場合によっては自動的に対応措置を講じることが可能です。

第4部: 総合的なセキュリティ戦略としてのDMZ

DMZの重要性の再確認

DMZは、組織のセキュリティ戦略において不可欠な要素です。外部に公開するサービスを適切に隔離し、内部ネットワークへの直接的なアクセスを遮断することで、全体のセキュリティ姿勢を強化します。DMZの設計と管理には、適切なファイアウォールの設定、攻撃検出システムの導入、継続的な監視と評価が求められます。

まとめ

DMZとその背後にあるセキュリティ原則は、ネットワークセキュリティを理解し、適切に実装するために不可欠です。二重ファイアウォール構成、攻撃緩和戦略、そして総合的なセキュリティ対策の組み合わせにより、組織は有価値な情報とシステムを保護し、外部からの脅威に効果的に対抗できます。DMZの設計と運用においては、常に最新の脅威情報を参照し、セキュリティ対策を更新し続けることが重要です。

[補足]AWSとHerokuでのDMZ

AWSでは、Amazon VPCを用いてDMZに相当する構成を実装できます。これにより、公開サブネット（DMZ）とプライベートサブネットを明確に分離し、セキュリティグループとネットワークACLで細かなアクセス制御を行うことが可能です。

一方、HerokuのようなPaaSでは、DMZの設定はサービス側で抽象化されており、開発者はアプリケーションレベルのセキュリティに集中することになります。Herokuは多くのセキュリティ対策をプラットフォーム側で管理しているため、ユーザーはアプリケーションのセキュリティ設定（認証機構など）に注力します。

DMZの設計と実装は、ネットワークセキュリティの重要な側面であり、内部ネットワークの保護を強化しながら必要なサービスを安全に公開するための効果的な手段です。

[補足]DMZとアプリケーションのセキュリティ

DMZの設計はネットワーク層の保護に焦点を当てていますが、アプリケーションレベルでのセキュリティ（例えば、認証と認可）も非常に重要です。DMZがネットワークの初期防御線として機能する一方で、アプリケーションレベルのセキュリティ（認証、認可、データ暗号化など）は、ユーザーがアプリケーションを通じて行う操作に関するセキュリティ対策として機能します。これは、アプリケーション内部でのデータ保護やアクセス制御に重点を置いています。

DMZとアプリケーションレベルのセキュリティの違いと関連性

ウェブアプリケーション内で認証されていないユーザーへのコンテンツ提供は、アプリケーションの認証機構で制御することができます。DMZの設置とアプリケーションの認証機能は異なるレイヤーのセキュリティ対策であり、それぞれがネットワークとアプリケーションの異なる側面を保護します。

• DMZ: ネットワークのセキュリティを強化し、内部ネットワークへの不正アクセスを防ぐための物理的または論理的な隔離領域を提供します。公開サービスのホスティングに使用され、内部リソースへの直接的なアクセスを遮断します。
• 認証機能: アプリケーション内でユーザーの識別とアクセス権限を管理します。認証されたユーザーにのみ特定の情報や機能のアクセスを許可し、ロールベースでのアクセス制御を実現します。

つまり、DMZはネットワークレベルでの防御を提供し、認証機能はアプリケーションレベルでのユーザー管理とセキュリティを担います。これらは相補的な関係にあり、包括的なセキュリティ体制の構築には両方が重要です。