#sacloud さくらのクラウドでAWS Well-Architected Frameworkの一部実装を試みる


AWS Well-Architected Frameworkは、セキュリティ、信頼性、パフォーマンスと効率、コストの最適化の4つに対してのAWSのベストプラクティスがまとめられたホワイトペーパーです。先日のJAWS-UG横浜で堀内さんの発表の中にあった一部をさくらのクラウドで実装してみました。

p1090667

今回やってみたのは「セキュリティ」の部分のここ。

p1090670_r01

・セキュリティグループは極力閉じる。
 ・常時オープンするポートは80番のみ
 ・sshポートは必要なときにしか開かない

これをさくらのクラウドの「パケットフィルタ」でやってみます。

左メニューの「パケットフィルタ」をクリックし、右上の「追加」をクリックします。
filter01

名前を入力して「作成」をクリックします。
filter02

パケットフィルタ一覧画面で、先ほど作成したパケットフィルタの行をダブルクリックします。
filter03

パケットフィルタ詳細画面が表示されますので、「ルール」タブをクリックします。「追加」をクリックし、ルールを追加していきます。
filter04

まずhttpを許可するルールを作成します。
filter05

続いてsshを許可するルールを作成します。
filter06

パケットフィルタは「暗黙のPermit(ルールに一致しないものは通す)」という仕様になっているので、最後に明示的に全ての通信を拒否するルールを作成します。
filter07

このようなルールになります。
filter075

パケットフィルタをサーバに適用します。サーバ詳細画面の「NIC」タブにて、右端の▼をクリックし、「パケットフィルタを編集」をクリックします。
filter08

先ほど作成したルールを選択し、「更新」をクリックします。
filter09

サーバの詳細画面に戻ると、NICにパケットフィルタが適用されていることがわかります。
filter10

この状態でサーバに対しての通信ができるか試してみます。

ブラウザでWebサイトを閲覧したところです。正常に表示できています。
website2

SSHログインしてみます。以下の通り、SSHログインが成功しています。

[root@tokyo ~]# ssh root@filter.example.jp
The authenticity of host 'filter.example.jp (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is <省略>
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'filter.example.jp,xxx.xxx.xxx.xxx' (RSA) to the list of known hosts.
[root@filter ~]# hostname
filter.example.jp
[root@filter ~]#

パケットフィルタ詳細画面で、×アイコンをクリックして、sshを許可しているルールを削除します。
filter11

SSHログインできなくなりました。

[root@tokyo ~]# ssh root@filter.example.jp
ssh: connect to host filter.example.jp port 22: Connection timed out

再度sshログインできるように、ルールを追加します。
filter12

パケットフィルタは追加した順に並びます。以下の場合、明示的なDenyの後にPermitのルールがあるので、Denyによって通信が拒否されます。
filter13

パケットフィルタ右側の「三」アイコンをドラッグし、上にします。(感覚的な操作なので、文章として表現しづらくてすみません・・・)
filter14

再度SSHログインしてみます。今度はログインできました。

[root@tokyo ~]# ssh root@filter.example.jp
Last login: Mon Nov 28 16:51:34 2016 from xxx.xxx.xxx.xxx
[root@filter ~]# hostname
filter.example.jp

通常はSSHは閉じておいて、必要な際にパケットフィルタに追加するように運用をしましょう。このようにパケットフィルタを活用することで、セキュアにサーバ運用ができるようになります。是非お試しください。

また、さくらのクラウドでは5周年を記念して、5万円のスペシャルクーポンをプレゼント中ですので、この機会にさくらのクラウドを触ってみていただければ幸いです。

cloud-cp-on