質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.78%

プライベートサブネットからインターネット接続を行う際のセキュリティー上の危険性について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 1,493

score 136

AWSにおきまして、パブリックサブネットからプライベートサブネットへ接続し、ターミナルより、「yum update -y」などとし、インターネットへ接続し、アップデートを行う際のルートテーブルの設定について、お聞きしたいことがございます。
まず、前提としまして、パブリックサブネットとプライベートサブネットの2つをVPC内に作成しました。
そして、パブリックサブネットからプライベートサブネットへ接続をするため、NATゲートウェイをパブリックサブネットへ設定しました。次に、プライベートサブネットのルートテーブルを編集し、「送信先」に「0.0.0.0/0」を入力し、「ターゲット」にはパブリックサブネットへ設定したNATゲートウェイを指定しました。
ここで、疑問なのですが、「送信先(0.0.0.0/0)」というのは、インターネットを指しているのでしょうか?
インターネットから、NATゲートウェイへ情報のレスポンスを行わなければならない為、フルオープン(0.0.0.0/0)としているのでしょうか?しかし、もし自分の理解が正しかったとしますと、NATゲートウェイへインターネットからのアクセスが可能となり、セキュリティの観点からしましても、なんのためにプライベートサブネットを作成しているのかが、いまいち分かりません。
AWSの学習をしていたのですが、ここの点につきまして、少し混乱してしまっている為、ご助言いただけますと幸いです。
よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

0.0.0.0/0については調べればいっぱい出てきますが例えばWikipediaとかも見てみてください。
この辺もいいかも。
これはAWSに限らず、OSI参照モデルにおけるネットワーク層のお話ですね。そのあたりをもう少し勉強してみてください。
あとは、NATそのものについても。

0.0.0.0/0をNatGatewayに向けているのならプライベートサブネットから外に出ていく通信は全てNatGatewayを経由します。
NatGatewayのあるサブネットのルートテーブルにはインターネットゲートウェイが0.0.0.0/0のターゲットとして指定されているはずです。
なので、NatGatewayを経由してインターネットに出ていくことになります。
一方、プライベートサブネットにインターネットゲートウェイが紐付いておらず、グローバルIPを外から参照する術がないので、プライベートサブネット内のインスタンスにインターネットから直接アクセスすることはできません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/10/08 11:53

    ご丁寧に教えていただきありがとうございます。
    やはりNATや「0.0.0.0/0」について、きちんと理解する必要があるんですね...
    >プライベートサブネット内のインスタンスにインターネットから直接アクセスすることはできません。
    ご回答いただきました、こちらの点についてなのですが、NATゲートウェイを通して、プライベートサブネットへアクセスが可能な為、どこからでも悪意を持った人間からのアクセスもできてしまうのではないかと思ったのですが、そういったことは起こらないような設定がNATゲートウェイにされているといった感じなのでしょうか?

    キャンセル

  • 2019/10/08 12:11 編集

    >NATゲートウェイを通して、プライベートサブネットへアクセスが可能な為、
    もう一度同じことを書きますが、NATそのものについてもう少し調べてみてください。
    インターネットからはNATのIPアドレスは解決できますが、その裏側のプライベートネットワークのIPアドレスの解決はできません。
    (ここではインターネットとプライベートネットワークの間のNATの話をしています。念の為)

    キャンセル

  • 2019/10/08 12:15

    ご返信ありがとうございます。
    すみません。NATについて、きちんと調べてみたいと思います。

    キャンセル

-4

「送信先」に「0.0.0.0/0」を入力し、

そもそも、こういうふうに設定してるのはあなたでは?
なぜこういう設定にしてるんでしょうか。

#あなたが自分でしてることをなんの関係もない赤の他人に聞いてどーしろとw

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.78%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る