AWSで最低限セキュアな構成を組む

最低限セキュアな構成とは

「最低限セキュアな構成」を次のように定義する。

1. Webサーバーやデータベースサーバーが直接、インターネットに公開されていない。
2. 公開・非公開に関わらず、特定のポートのみインバウンドを受け付けている。
3. 非公開のサブネットは特定のサブネットからのみインバウンドを受け付けている。
4. 踏み台サーバーは必要な時のみ存在している。

この定義を満たす構成は次のようになる。

構築手順

ざっくりと以下の手順を踏む。

1. VPCの構築
2. パブリックSubnetの構築
3. Subnetの構築
4. Internet Gatewayの構築
5. Route tableの構築
6. プライベートSubnetの構築
7. Subnetの構築
8. パブリックSubnetにNATインスタンスを構築
9. Elastic IPのアロケートとNATインスタンスへの結び付け
10. Route tableの構築
11. Auto Scaling Groupのための前準備
12. プライベートSubnetにEC2インスタンス（Webサーバーとして）
13. パブリックSubnetにEC2インスタンス（踏み台サーバーとして）
14. 踏み台サーバーからWebサーバーにログインしてApacheをインストール
15. WebサーバーのAMIを作成する
16. Elastic Load Balancerの構築
17. Auto Scaling Groupの構築
18. アクセスして確認

VPCの構築

1. ServicesからVPCを選択（＝ VPC Dashboard）
2. 「n VPCs」となっているリンクを選択（画面が変わる）
3. 「Create VPC」ボタンを押下
4. Name tagは適当に（vpc-servicename-stgとかvpc-servicename-prodとか）
5. CIDR blockは例示されている10.0.0.0/16で問題無い
6. TenancyはDefaultで
7. 「Yes, Create」ボタンを押下

※以降、VPCのCIDR blockを10.0.0.0/16とした前提で記述する。

パブリックSubnetの構築

1. VPC Dashboard左メニューから「Subnets」を選択
2. 「Create Subnet」ボタンを押下
3. Name tagは適当に（subnet-servicename-stg-publicとか）
4. VPCは前述「VPCの構築」で作成したVPCを選択
5. Availability Zoneはap-northeast-1aを選択（BCPの観点からAZを分けたり、RDSでMulti-AZを組んだりするまでは、単一のAZを選択して良いと思う）
6. CIDR blockは10.0.0.0/24とする
7. 「Yes, Create」ボタンを押下
8. VPC Dashboard左メニューから「Internet Gateways」を選択
9. 「Create Internet Gateway」ボタンを押下
10. Name tagは適当に（igw-servicename-stgとか）
11. 「Yes, Create」ボタンを押下
12. 今作成したInternet Gatewayの左端の四角が選択されている事を確認して（されていなければ選択して）、「Attach to VPC」ボタンを押下
13. VPCは前述「VPCの構築」で作成したVPCを選択
14. 「Yes, Attach」ボタンを押下
15. VPC Dashboard左メニューから「Route Tables」を選択
16. 「Create Route Table」ボタンを押下
17. Name tagは適当に（rtb-servicename-stg-publicとか）
18. VPCは前述「VPCの構築」で作成したVPCを選択
19. 「Yes, Create」ボタンを押下
20. 今作成したRoute Tableの左端の四角が選択されている事を確認して（されていなければ選択して）、ページ下部の「Routes」タブを選択
21. 「Edit」ボタンを押下
22. Destinationに「0.0.0.0/0」を入力
23. Targetに作成したInternet Gatewayを選択（候補で出るはず）
24. 「Save」ボタンを押下
25. VPC Dashboard左メニューから「Subnets」を選択
26. 既に作成したパブリック用Subnetの左端の四角が選択されている事を確認して（されていなければ選択して）、ページ下部の「Route Table」タブを選択
27. 「Edit」ボタンを押下
28. Change toで今作成したRoute Table（rtb-servicename-stg-publicとか）を選択
29. 「Save」ボタンを押下

プライベートSubnetの構築

1. VPC Dashboard左メニューから「Subnets」を選択
2. 「Create Subnet」ボタンを押下
3. Name tagは適当に（subnet-servicename-stg-privateとか）
4. VPCは前述「VPCの構築」で作成したVPCを選択
5. Availability Zoneはap-northeast-1aを選択
6. CIDR blockは10.0.1.0/24とする
7. 「Yes, Create」ボタンを押下
8. ServicesからEC2を選択（＝ EC2 Dashboard）
9. 「Launch Instance」ボタンを押下（ここはかなり読み辛いのでご容赦を）
10. 左メニューから「Community AMIs」を選択
11. 「Search community AMIs」エディットボックスに「NAT」と入力して検索。
12. 「amzn-ami-vpc-nat-pv-2014.03.2.x86_64-ebs」の「Select」ボタンを押下（構築時の一番新しいものを選択すれば良いと思う）
13. 「Family」列がMicro instancesの行の左端の四角が選択されている事を確認して（実際はサービスの用途に合わせて選ぶべき）、「Next: Configure Instance Details」ボタンを押下
14. Networkには作成したVPCが選択されている事
15. Subnetには作成したパブリックsubnetが選択されている事（ここが重要）
16. 「Next: Add Storage」ボタンを押下
17. 「Next: Tag Instance」ボタンを押下
18. Keyに「Name」が指定されているはずなので、Valueに「servicename-stg-nat」等と入力
19. 「Next: Configure Security Group」ボタンを押下
20. Assign a security groupは「Create a new security group」を選択
21. Security group nameは適当に（securitygroup-servicename-stg-natとか）
22. Descriptionは適当に
23. SSHのSource列は「Custom IP」を選択し、値は「10.0.0.0/16」を指定。yum等でインストールする時のために、HTTPも追加。Custom IPで値は10.0.0.0/16で。
24. 「Review and Launch」ボタンを押下
25. 「Launch」ボタンを押下
26. 「Select an existing key pair or create a new key pair」と聞かれるので、「Create a new key pair」を選択し、Key pair nameに「servicename-stg-nat」等と入力し、「Download Key Pair」ボタンを押下してダウンロード
27. 「Launch Instances」ボタンを押下
28. 「View Instances」ボタンを押下
29. 作成中（のはず）のインスタンスを右クリックして「Change Source/Dest. Check」メニューを選択
30. 「Yes, Disable」ボタンを押下
31. EC2 Dashboard左メニューから「Elastic IPs」を選択
32. 「Allocate New Address」を押下
33. 「Yes, Allocate」ボタンを押下
34. 今アロケートされたElastic IPの左端の四角が選択されている事を確認して（されていなければ選択して）、「Associate Address」ボタンを押下
35. Instanceを選択するとインスタンスが検索され、先程作成したNATインスタンスが一覧されるはずなので、これを選択
36. 「Associate」ボタンを押下
37. VPC Dashboard左メニューから「Route Tables」を選択
38. 「Create Route Table」ボタンを押下
39. Name tagは適当に（rtb-servicename-stg-privateとか）
40. VPCは前述「VPCの構築」で作成したVPCを選択
41. 「Yes, Create」ボタンを押下
42. 今作成したRoute Tableの左端の四角が選択されている事を確認して（されていなければ選択して）、ページ下部の「Routes」タブを選択
43. 「Edit」ボタンを押下
44. Destinationに「0.0.0.0/0」を入力
45. Targetに作成したNATインスタンスを選択（候補で出るはず）
46. 「Save」ボタンを押下
47. VPC Dashboard左メニューから「Subnets」を選択
48. 既に作成したプライベート用Subnetの左端の四角が選択されている事を確認して（されていなければ選択して）、ページ下部の「Route Table」タブを選択
49. 「Edit」ボタンを押下
50. Change toで今作成したRoute Table（rtb-servicename-stg-privateとか）を選択
51. 「Save」ボタンを押下

Auto Scaling Groupのための前準備

※慣れて来ているのでEC2インスタンス上げるところはかなり端折ります

1. プライベートSubnetにEC2インスタンス（Webサーバーとして）
2. NATインスタンスを作成した要領で、プラベートSubnetにEC2インスタンスを作成する。Security groupは新規に作成して、10.0.0.0/16からのHTTPとSSHのみを許可するように設定すればとりあえず良い。
3. パブリックSubnetにEC2インスタンス（踏み台サーバーとして）
4. NATインスタンスを作成した要領で、パブリックSubnetにEC2インスタンスを作成する。Security groupは新規に作成してSSHをAnywhereに。Key pairは厳重に管理。尚、踏み台サーバーは、使用する時以外はStoppedにしておく事で、さらにセキュアな状態とする。このデザインパターンをOn Demand Bastionパターンと呼ぶらしい。
5. NATインスタンスにした要領でElastic IPを踏み台サーバーにAssociateする。
6. 踏み台サーバーからWebサーバーにはいってApacheをインストール
7. Webサーバーのインスタンスを選択して右クリックして「Stop」選択して「Yes, Stop」ボタン押下
8. Webサーバーのインスタンスを選択して右クリックして「Create Image」選択。画面見ればAMIの作り方は感じられるはず

Apacheのインストール

sudo yum -y install httpd
sudo chkconfig httpd on
sudo service httpd start

Elastic Load Balancerの構築

1. EC2 Dashboard左メニューから「Load Balancers」を選択
2. 「Create Load Balancer」ボタンを押下
3. Load Balancer nameは適当に（elb-servicename-stgとか）
4. Create LB Insideは作成したVPCを指定
5. Create an internal load balancerはチェックoff
6. 今の所ポート80をポート80に転送するので設定は触らず
7. 「Continue」ボタンを押下
8. Configure Health Checkは触らず（WebサーバーにApacheインストールした際にindex.htmlを用意しておく事）
9. Healthy Thresholdは、実運用時は適切に設定するものの、構築を試行している時は最小の2がお勧め
10. 「Continue」ボタンを押下
11. Available Subnetsの中からパブリックSubnetのプラスマークを押下（ELBが属するSubnetを指定する事）
12. 「Continue」ボタンを押下
13. Security groupはポート80だけを許可した新しいものをここでは作成した
14. 「Continue」ボタンを押下
15. Add Instances to Load Balancerの画面では何も指定しない。後ほどAuto Scaling Groupを設定する際、現在作成しているELBを指定する事になる。
16. 「Continue」ボタンを押下
17. Key, Valueはとりあえず指定せず「Continue」ボタンを押下
18. 「Create」ボタンを押下

Auto Scaling Groupの構築

1. EC2 Dashboard左メニューから「Auto Scaling Groups」を選択
2. 「Create Auto Scaling Group」ボタンを押下
3. 「Create launch configuration」ボタンを押下
4. My AMIsを選択
5. 先程作成したAMIを選択
6. インスタンスタイプ変更するなら変更して「Next: Configure details」ボタンを押下
7. Create Launch ConfigurationのNameは適当に（clc-servicename-stgなど）
8. Advanced Detailsを開きIP Address Typeは「Do not assign a public IP address to any instances.」を選択
9. 「Next: Add Storage」ボタンを押下
10. ストレージは適当に「Next: Configure Security Group」ボタンを押下
11. セキュリティグループはWebサーバーと同じものを選択し「Review」ボタンを押下
12. 「Create launch configuration」ボタンを押下
13. Key pair聞かれるのでWebサーバーのkey pairを選択して「Create launch configuration」ボタンを押下
14. Create Auto Scaling Groupの画面に来るので、
15. Group nameは適当に（asg-servicename-stg等）
16. Group sizeは1を指定
17. Networkは作成したVPCを指定
18. SubnetはプライベートSubnetを指定
19. Advanced Detailsを開き、
    1. Load Balancingの「Receive traffic from Elastic Load Balancer(s)」をチェック
    2. チェックするとその下にボックスが現れるので、先程作成したELBを指定
    3. Health Check TypeはELBを選択
20. 「Next: Configure scaling policies」ボタンを押下
21. 今の所は「Keep this group at its initial size」を選択
22. 「Next: Connfigure Notifications」ボタンを押下
23. 「Next: Configure Tags」ボタンを押下
24. 「Review」ボタンを押下
25. 「Create Auto Scaling Group」ボタンを押下

アクセスして確認

1. EC2 Dashboard左メニューから「Load Balancers」を選択
2. 作成したLoad Balancerを選択
3. ページ下部の「Description」タブを選択
4. DNS Nameがでるので、ブラウザーから当該URLにアクセスして、表示を確認する

上記確認を行う前に、Auto Scaling Groupの構築を行うと、AMIからEC2インスタンスが起動する。しばらく待つとELBに組み込まれる。DescriptionタブのStatusが「1 of 1 instances in service」となってからアクセスする事。

また、Auto Scaling Groupによって作成されたEC2インスタンスをterminateしてみると、ELBがこれを検知し切り離され、Auto Scaling Groupのポリシーによって新しいEC2インスタンスが起動されELBに組み込まれ・・・、という動作も確認出来る。

そして...

最後の方はグダグダな記述でごめんなさい。
セキュリティグループってどの程度分けるんだろうとかもっと試行錯誤した後、ChefやServerspecへ旅立つ予定です。