はじめに
こんにちは
今回はセキュリティ分野の 「セキュリティグループ」 についてご紹介いたします。
セキュリティグループ
セキュリティグループとはVPC(Virtual Private Cloud)上で、通信制御をするファイアウォールのことです。(↓イメージ図)
ファイアウォール?(…炎の壁?)
「防火壁」 ですね。とあるものを守ります。
ファイアウォール
ファイアウォール(Firewall) とは、企業などの社内ネットワークにインターネットを通して外部から侵入してくる不正アクセスや、社内ネットワークから、外部への許可されていない通信に対しての「防火壁」 です。
外部からの不正アクセスや社内ネットワークから外部への許可されていない通信が無いかどうか判断して、管理者へ通知するんですね。
より高いセキュリティを保てるよう々な付加機能を持っているものが多く、様々なネットワークに柔軟に対応できるようになっているそうですよ。
フィルタリングの方法
フィルタリングは通過させるかどうか判断する方法です。以下の3種類があります。
・パケットフィルタリング型
→ヘッダーを解析して、通過させるかどうかを判断します
・サーキットゲートウェイ型
→プロキシサーバ経由で接続を行い、パケットフィルタリング型システムの方法に加えて、ポート制御機能を持ちます。コネクションごとに認証を行います。
・アプリケーションゲートウェイ型
→プロキシサーバ経由で接続を行います。サーキットゲートウェイ型システムよりも詳細なアプリケーションプロトコルごとに認証を行います。
従来のオンプレミス環境
従来のオンプレミス環境では、インターネットと企業内LANの間にファイアウォールを設置していました。
セキュリティの要件を厳しくするなら、サーバーやデータベースなどの前にもファイアウォールを設置すれば良さそうですね。
有効な考えだけど設置コストがかかるから、現実的では無かったんだね。でもAWSでは、「セキュリティグループ」という名前の仮想ファイアウォールを使用することができます。
セキュリティグループの詳細
セキュリティグループは、従来のオンプレミス環境では出来なかったことがあります。
それは 「インスタンスごとにファイアウォール設定を導入すること」 が可能になりました。
セキュリティグループでは、通信の許可ルールを設定することができます。
しかし、拒否ルールを設定することはできません。
許可したい通信のみをセキュリティグループに設定しましょう
デフォルト設定
VPCを作成すると、「default」という名前のセキュリティグループが自動的に一つ作成されます。デフォルトの設定は以下の通りです。
・インバウンド:全て拒否します(正しい、同じセキュリティグループが適用されたインスタンスからのみ許可されます)
・アウトバウンド:全て許可します
またセキュリティグループはステートフル(状態を保持する)なので、インバウンドルールを設定すれば通信が可能になります。
まとめ
AWSではセキュリティグループという仮想ファイアウォールを使用することができる
セキュリティグループでは、インスタンスごとにファイアウォール設定を導入することができる
一つのセキュリティグループを複数のインスタンスに適用することができる
セキュリティグループは、ステートフルである
おわりに
AWSのセキュリティグループは、「Amazon EC2」などのリソースに対して適用される仮想ファイアウォールの機能であることが理解できました。AWSの環境を安全に運用するためのセキュリティの基本だということを押さえていきます。(結構難しい…)
最後までお読みいただきありがとうございました!
日頃より活用している参考書です。
「参考書」
AWS認定クラウドプラクティショナー改定第3版「AWS公式サイト」
AWS セキュリティグループ「参考元」
セキュリティグループとは?「参考元」
セキュリティグループってどんなグループ?「参考元」
Amazon VPCのセキュリティ基本「Youtube」
【CLF-C02:AWSクラウドプラクティショナー】第12回 セキュリティグループ (セキュリティとコンプライアンス分野)