Upload
shinobu-yasuda
View
282
Download
0
Embed Size (px)
Citation preview
© IBM Corporation 1
Presented by:
エキスパートから失敗を回避する術を学べ!~ SoftLayer アンチパターン・デザイン~ 安田 忍IBM クラウド・マイスター日本アイ・ビー・エム株式会社
© IBM Corporation 2
話す ひと 日本 IBM クラウド・マイスター 安田 忍① データベース (DB2/Oracle 等 ) の元スペシャリスト② 日本 IBM におけるミドルウェア製品のデリバリーを長く経験③SoftLayer を使ったクラウド設計屋さん 好きな
SoftLayerのサービス 無料のデータセンター間グローバルネットワーク
Twitter:@testnin2 (shinobilayer)
© IBM Corporation 3
第 26 回 iSUC の最終セッションで話します10/16( 金 ) 11:00 ~ 12:00
© IBM Corporation 4
アンチ・デザインパターン1. Public NIC を使った通信2. VMWare ESX 5.x サーバーの課金3. 10GB NIC を使用しているサーバーでの Dedicated
Firewall/Fortigate Firewall4. SoftLayer ネットワークの使用方法5. パスワードリセットに備えたカスタマーポータルでのユーザ設定6. SSH/RDP アクセスのための Firewall 構成
課金
セキュリティー
ネットワーク
© IBM Corporation 5
1. Public NIC を使った通信• アンチデザイン
• Public VLAN を使ってノード間通信をする・・・ことで、同じデータセンター内でも無料枠を超えると課金されてしまう。• 望ましい方式
• 可能な限り Private NIC を選択する。 SoftLayer は Private NW 通信は無料!
Public VLAN Private VLAN
Server A
Server B
・ Server A にとっては、 inbound( 中に入ってくる通信)なので課金なし。・ Server B にとっては、 outbound( 外に出て行く通信)なので、無料枠を超えると課金される安価なネットワーク転送料金■ プライベートネットワーク:・受信無料 / ・送信無料■ パブリックネットワーク:・受信無料・ 250GB まで送信無料(仮想)・ 500GB まで送信無料(物理)・ 20TB まで送信無料( Vyatta Gateway Appliance)
© IBM Corporation 6
2 . VMWare ESX 5.x サーバーの課金• アンチデザイン
• VMWare ESX 5.x は VM のメモリーアロケーション状況で課金を行うため、定期的に VM の稼働状況をチェック• VMWare ESX 5.x をユーザーが手動で停止すると、物理サーバー搭載メモリ分の課金がされる可能性がある
• 望ましい方式• VMWare ESX 5.x サーバーは、運用上必要でなければ、原則長時間の電源停止を行わない
Baremetal サーバ
VMWare ESXiSoftLayer 管理サーバ
VM4GB
VM8GB
・・ VM8GB
VM にアロケーショしたメモリー容量を監視し、容量に応じて従量課金
サーバが停止した場合、監視が行えないため、Baremetal サーバ搭載分の全メモリ分の課金がされてしまう。
VMWare 6.x からはプロセッサー課金になったので、気にしなくてもよくなったハズ。
© IBM Corporation 7
3 . 10G NIC での Dedicated Firewall/Fortigate Firewall
• アンチデザイン• Dedicated Firewall/Fortigate Firewall はスループットの上限が 1Gbps• Public 側で 1Gbps 以上のスループットが必要な場合に FW がボトルネックとなる• Private 側の制御ができない。
SL DC
インターネット Dedicated FWFortigate
クライアント PC
サーバ( 10GbpsNIC )
サーバ( 10GbpsNIC )
サーバ( 10GbpsNIC )
サーバの NIC を 10Gbps にアップグレードしても FWの上限が 1Gbps のためボトルネックとなる
© IBM Corporation 8
• 望ましい方式• Vyatta Gateway Appliance の 10GbpsNIC を FW として使う• Vyatta Gateway Appliance であれば、 Private 側もフィルタリング可能
SL DC
インターネット Vyatta Gateway(10Gbps NIC)クライアント PC
サーバ( 10GbpsNIC )
サーバ( 10GbpsNIC )
サーバ( 10GbpsNIC )
NIC を 10Gbps にアップグレードした Vyatta を FWとして使用し、 FW がボトルネックとなることを軽減する
© IBM Corporation 9
(参考)ファイアーウオールの選択基準特徴 OS
ファイアウォール
ハードウェアファイアウォール
(共用型)
ハードウェアファイアウォール
(専用型)
FortigateSecurity
Appliance
VyattaGatewayAppliance
適用範囲OS (パブリックIP 、プライベートIP )
サーバーのPrimary IP アドレス1個(ポータブルIP は不可)
パブリックVLAN x1 個
パブリックVLAN x1 個
パブリック VLAN x NプライベートVLAN x N
共用/専用 専用 (OS) 共用 (HW 機器 ) 専用 (HW 機器 ) 専用 (HW 機器 ) 専用(物理サーバ)
HA 構成 n/a コールドスタンバイ 可能 可能 可能
保護対象 Inbound/Outbound Inbound のみ Inbound のみ Inbound/
OutboundInbound/Outbound
性能 サーバー能力に依存するが、負荷は微少
10Mbps ~2000Mbps ~ 1Gbps ~ 1Gbps
~ 10Gbps(NIC リンク速度に依存)
その他の特徴
・ OS にバンドルされる FW または別途購入
・ログを取得するためには、定期的にCustomer Portalでダウンロードするか、 API を使う必要がある
・ログを取得するためには、定期的にCustomer Portalでダウンロードするか、 API を使う必要がある・高価
・ FortiGuard AV, NGFW, Web Filtering のオプションあり・運用が自己責任・ Syslog 転送やtimezone 変更などができない、シグネチャーの更新タイミングが制御できない等の制限あり・高価
・ IPSec VPN/GRE/NAT/VLAN トランク /ルーティングなど、豊富なルーター機能を利用可能であり、ゾーニングに利用可能・プライベートVLAN も保護可能・高価
1つの VLAN に対してどれか1つの FW しか適用できない
一般に Vyatta Gateway Appliance と OS ファイアウォールを兼用することを推奨
© IBM Corporation 10
4 . SoftLayer プライベート・ネットワークとオンプレ NW 間の通信形態• アンチデザイン
• SoftLayer ネットワークを、トラフィックの通信路としてのみ使用する使い方は原則禁止① クライアント PC - オンプレの Web サーバー間で、直接 TCP セッションが確立するケース② クライアント PC - オンプレの Web サーバー間に、 Proxy 等があり、 TCP セッションはそこで終端するケース
SL 海外 DC SL TOKYO DC
DirectLink(専用線)
DirectLink(専用線)
SoftLayerBackbone NW
オンプレ DC (国内)オンプレ DC (海外)
インターネット
proxy サーバ
クライアント PC
クライアント PC
サーバー
①
②
© IBM Corporation 11
• 望ましい方式• クライアント PC - SoftLayer 上のシステム - オンプレの Web サーバーのように、クライアント PC は SoftLayer 上のシステムにアクセスし、 SoftLayer 上のシステムがオンプレの Web サーバーにアクセスしてデータを取得して、クライアント PC に提供する
SL 海外 DC SL TOKYO DC
DirectLink(専用線)
DirectLink(専用線)
SoftLayerBackbone NW
オンプレ DC (国内)オンプレ DC (海外)
インターネット
Web サーバ
クライアント PC
クライアント PC
DB サーバー
© IBM Corporation 12
5. パスワードリセットに備えたカスタマーポータルでのユーザ設定• アンチデザイン
• カスタマーポータルで Security Questions を設定していない。• 一般にパスワードリセットは、
• 一般ユーザー: SoftLayer サポートに依頼してもリセットはしてくれない。アカウントユーザーのみリセットできる。• アカウントユーザー: SoftLayer サポートに依頼してリセット可能だが、本人特定のための詳細なチェックが発生し、(ソーシャルハッキングなどを鑑みるとそう簡単にリセットされてしまっては困るので当然だが)非常に面倒くさい
© IBM Corporation 13
• 望ましい方式• ユーザー設定にて、 Security Question を入力する。• password 認証だけでなく、 Security Question を入力しないとログインできないように構成することも可能。• 詳細はこちらのページも参照。 http://qiita.com/testnin2/items/9e2fd480731071152afb
© IBM Corporation 14
(参考)パスワードリセットの方法1. カスタマーポータルでForget Password を選択 2. ユーザー ID とメールアドレスを入力 3. 以下の画面に遷移し、メールが届くので、メール中のリンクを選択
4. 全ての Security Questions に答えて、新パスワードを入力
© IBM Corporation 15
6. SSH/RDP アクセスのための Firewall 構成• アンチデザイン
• Firewall を使っていない。もしくは、• Firewall を使っていても、 RDP(port: 3389) や SSH(port: 22) 以外のポート番号を閉じているから、インターネットからアクセスしても安全だと誤解している。
SL DC
FWインターネット
クライアント PC
© IBM Corporation 16
• 望ましい方式• Firewall は、開いているポートに対する攻撃をブロックすることはできない。• Firewall は(できれば Vyatta Gateway Appliance と OS のように)多重で構成する。• 最低でも以下のどれかの方式を採用する。これ以上の対策ができると望ましい。
Public NWを完全に閉じて、 Private NW 経由でアクセスする
パスワードは十分に複雑である。( Linux では秘密鍵暗号化方式が使えるならそちらが望ましい)
Firewall で不要なポートはすべて閉じている。
Firewall で接続元 IPアドレスを制限している。
SSH やRDP にWell-known port番号を使用しない。
アクセス履歴を定期的に確認する
方法1 ✔ ✔ ✔
方法2 ✔ ✔ ✔ ✔
方法3 ✔ ✔ ✔ ✔
© IBM Corporation 17
–Any Questions ?