回答編集履歴
3
修正
answer
CHANGED
|
@@ -4,34 +4,57 @@
|
|
|
4
4
|
。
|
|
5
5
|
要件なしで極論を話し出すと関係者全員が脅迫されるところまで考える必要が出てきてしまいますし、
|
|
6
6
|
逆に、自分しか触らない&秘密鍵とパスフレーズが十分に安全なのでそういう対策は要らないと言うことも言えます。
|
|
7
|
+
(実際、割と規模が大きめでセキュリティ要件の厳しいところでも固定IPによる接続元制限+鍵認証だけで踏み台サーバを用意しないケースもあったりします)
|
|
7
8
|
|
|
9
|
+
|
|
8
10
|
ですので、それぞれの施策によってどういう要件が満たされるのかという観点で考えてみて下さい。
|
|
9
11
|
|
|
10
12
|
回答
|
|
11
13
|
---
|
|
12
|
-
1.
|
|
13
|
-
例えば100台のEC2があった場合、そもそも必要の無いインスタンスにはパブリックIPを付けない方が考える事が減り管理が楽になります。
|
|
14
|
-
(踏み台サーバが起動していないという前提だけで、外からのアクセスを完全無効化出来るという意味で楽)
|
|
15
14
|
|
|
15
|
+
> 1. 接続元のPCを踏み台サーバーに限定することで不特定多数の外部からのアクセスを制限できる。踏み台サーバーへの接続も特定のIPアドレスに制限する
|
|
16
|
+
>
|
|
16
|
-
|
|
17
|
+
> 1に関して、そもそも接続先のサーバーへのアクセスを自分のネットワークのIPに限定することで解決しませんか?
|
|
17
|
-
|
|
18
|
+
> 二度手間のように思えてしまいます
|
|
18
|
-
という構成にした場合は踏み台サーバが必須になります。
|
|
19
19
|
|
|
20
|
-
|
|
20
|
+
例えば100台のEC2があった場合、そもそも必要の無いインスタンスにはパブリックIPを付けない方が考える事が減り管理が楽になるなど、いくつもメリットがあります。
|
|
21
21
|
|
|
22
|
+
具体的には
|
|
23
|
+
- 踏み台サーバが起動していないという事さえ確認出来れば、外からのアクセスを完全無効化出来る
|
|
24
|
+
- インターネットに出る時の経路を絞れるので内部→外部への不正アクセスも防ぎやすい
|
|
25
|
+
- 純粋に管理する項目が減るので、管理ドキュメントの更新運用のコストが下がる
|
|
26
|
+
- 踏み台のユーザーを削除すれば、そのユーザーは確実に内部のインスタンスにはログイン出来なくなるので、管理者の退職や鍵の漏洩の際の初手が迅速に打てる(内部インスタンスの認証をどう管理するかはまた別の観点ですが、少なくとも「ログインを禁止する」ような対応がすぐに取れる)
|
|
22
27
|
|
|
28
|
+
等です。
|
|
23
29
|
|
|
30
|
+
こういったメリットが優先順位の高い要件と合致した場合は
|
|
31
|
+
1台のパブリックIPを持つ踏み台サーバと99台のプライベートIPしか持たないサーバという構成にする
|
|
32
|
+
という選択肢の妥当性が向上します。
|
|
33
|
+
|
|
34
|
+
別の観点だと、
|
|
35
|
+
99台のうち、管理責任を分担する場合(一部のセキュリティ要件が緩いor厳しいサーバだけ管理を外部に任せるとか)は踏み台サーバを分ければ、責任分界点の設定が楽になったりもします。
|
|
36
|
+
|
|
24
|
-
|
|
37
|
+
---
|
|
38
|
+
|
|
39
|
+
> 2. 通常時は踏み台サーバーを停止させておくことでメンテナンス時以外は目的のサーバーに到達できないようにする
|
|
40
|
+
> 2に関して、ただ時間帯による制限を増やしただけで本質的にセキュリティの向上になっている気がしません
|
|
41
|
+
> また、踏み台サーバーを停止・起動させる作業が必要であるならば、そもそもAWSのコンソールからインターネットからのアクセスをON・OFFすれば良いように思えます
|
|
42
|
+
|
|
25
43
|
セキュリティに完璧はありませんが、別の層で防御することによる効果はあります。
|
|
26
44
|
|
|
27
45
|
例えば、
|
|
28
|
-
sshでログインする人はマネジメントコンソールにログイン出来ず、踏み台サーバ起動には別の人の許可が必要
|
|
46
|
+
- sshでログインする人はマネジメントコンソールにログイン出来ず、踏み台サーバ起動には別の人の許可が必要
|
|
47
|
+
|
|
29
|
-
という
|
|
48
|
+
という運用にすれば、SSHで管理する役割の人が酔っ払って秘密鍵とパスフレーズをセットで無くしても悪用される前に対処が可能になります。
|
|
30
49
|
(このインシデントは結構発生しているので、どこでも何らかの対応をしています)
|
|
31
50
|
|
|
32
|
-
同じ人がインスタンス起動とsshログインを出来る場合でも、
|
|
51
|
+
- (同じ人がインスタンス起動とsshログインを出来る場合であっても、)マネジメントコンソールへのログインにMFAを必須とする運用にすれば、秘密鍵とパスフレーズとマネジメントコンソールのIDとパスワードとMFAデバイスを全部セットで盗まれない限りは悪用されない
|
|
52
|
+
- 踏み台インスタンスが起動したらアラートを上げるようにして、事前申請が無い場合は問答無用で踏み台サーバを落とす
|
|
33
53
|
|
|
34
|
-
踏み台インスタンスが起動したらアラートを上げるようにして、事前申請が無い場合は問答無用で踏み台サーバを落とす
|
|
35
|
-
|
|
54
|
+
と言う様な運用を設計することが出来ます。
|
|
36
55
|
|
|
56
|
+
> 踏み台サーバーのメリットがいまいちわかりません
|
|
57
|
+
|
|
58
|
+
前述のとおりですが、強いて言うなら、
|
|
37
|
-
|
|
59
|
+
発生するコストに対して運用をセキュアに保つ効果が高い。運用設計に柔軟度が生まれる
|
|
60
|
+
と言うところでしょうか。
|
2
追記
answer
CHANGED
|
@@ -17,7 +17,10 @@
|
|
|
17
17
|
99台のプライベートIPしか持たないサーバ
|
|
18
18
|
という構成にした場合は踏み台サーバが必須になります。
|
|
19
19
|
|
|
20
|
+
99台のうち、管理責任を分担する場合(一部のセキュリティ要件が緩いor厳しいサーバだけ管理を外部に任せるとか)は踏み台サーバを分ければ、責任分界点の設定が楽になったりもしますね。
|
|
20
21
|
|
|
22
|
+
|
|
23
|
+
|
|
21
24
|
2
|
|
22
25
|
セキュリティに完璧はありませんが、別の層で防御することによる効果はあります。
|
|
23
26
|
|
1
修正
answer
CHANGED
|
@@ -2,9 +2,11 @@
|
|
|
2
2
|
---
|
|
3
3
|
各セキュリティ施策は定義したセキュリティ要件をクリアするために設定するので、要件を定義せずに完璧を目指すのはあまり意味がありません
|
|
4
4
|
。
|
|
5
|
-
要件なし極論を話し出すと関係者全員が脅迫されるところまで考える必要が出てきてしまいますし、
|
|
5
|
+
要件なしで極論を話し出すと関係者全員が脅迫されるところまで考える必要が出てきてしまいますし、
|
|
6
|
-
逆に自分しか触らない&秘密鍵とパスフレーズが十分に安全なのでそういう対策は要らないと言うことも
|
|
6
|
+
逆に、自分しか触らない&秘密鍵とパスフレーズが十分に安全なのでそういう対策は要らないと言うことも言えます。
|
|
7
7
|
|
|
8
|
+
ですので、それぞれの施策によってどういう要件が満たされるのかという観点で考えてみて下さい。
|
|
9
|
+
|
|
8
10
|
回答
|
|
9
11
|
---
|
|
10
12
|
1.
|
|
@@ -22,5 +24,11 @@
|
|
|
22
24
|
例えば、
|
|
23
25
|
sshでログインする人はマネジメントコンソールにログイン出来ず、踏み台サーバ起動には別の人の許可が必要
|
|
24
26
|
という感じにすれば、SSHで管理する役割の人が酔っ払って秘密鍵とパスフレーズをセットで無くしても悪用される前に対処可能です。
|
|
27
|
+
(このインシデントは結構発生しているので、どこでも何らかの対応をしています)
|
|
25
28
|
|
|
26
|
-
同じ人がインスタンス起動とsshログインを出来る場合でも、例えばマネジメントコンソールへのログインにMFAを必須とすれば、秘密鍵とパスフレーズとマネジメントコンソールのIDとパスワードとMFAデバイスを全部セットで盗まれない限りは悪用されないことになります。
|
|
29
|
+
同じ人がインスタンス起動とsshログインを出来る場合でも、例えばマネジメントコンソールへのログインにMFAを必須とすれば、秘密鍵とパスフレーズとマネジメントコンソールのIDとパスワードとMFAデバイスを全部セットで盗まれない限りは悪用されないことになります。
|
|
30
|
+
|
|
31
|
+
踏み台インスタンスが起動したらアラートを上げるようにして、事前申請が無い場合は問答無用で踏み台サーバを落とす
|
|
32
|
+
みたいな事も割と簡単に出来ます。
|
|
33
|
+
|
|
34
|
+
という感じ、必要な時だけ踏み台サーバを起動すると便利な事が結構あるので、採用されやすい施策なんだと思っています。
|