MENU
  • サービス
  • AWS導入支援
  • AWS運用代行
  • WordPress
    • WordPress高速化
    • WordPress脆弱性対策
  • 導入事例
  • 良くあるご質問
  • AWS技術知見
  • お問い合わせ
AWSの導入・クラウド運用を総合支援【CapsuleCloud】
  • サービス
  • AWS導入支援
  • AWS運用代行
  • WordPress
    • WordPress高速化
    • WordPress脆弱性対策
  • 導入事例
  • 良くあるご質問
  • AWS技術知見
  • お問い合わせ
AWSの導入・クラウド運用を総合支援【CapsuleCloud】
  • サービス
  • AWS導入支援
  • AWS運用代行
  • WordPress
    • WordPress高速化
    • WordPress脆弱性対策
  • 導入事例
  • 良くあるご質問
  • AWS技術知見
  • お問い合わせ
  1. ホーム
  2. AWS技術知見
  3. AWSネットワーク設計 VPC概論

AWSネットワーク設計 VPC概論

2022 8/18
AWS技術知見
2022年8月18日
目次

はじめに

AWSと聞いて思い浮かべるのは、EC2の仮想サーバであったり、S3のストレージサービスだったりするかもしれません。
しかし、実はAWSの中で最も重要なのがネットワークを設計するVPCなのです。

一度作ってしまうと後から変更しにくい、そんなに何度も作る機会がないなど地味な役回りですが、VPCの中に立てるEC2の振る舞い、可用性、セキュリティなどあらゆる箇所に影響します。VPCを征する者はAWSを征するとも言えるサービスです。

AWS VPCとは

正確にはAmazon Virtual Private Cloudのことで、簡単に言えばEC2やRDSを入れる箱みたいなものです。
VPCのメリットは大きく下記の3つに集約されます。

1. ネットワーク設計の自由度

IPアドレスのCIDRブロックが自由に決められるので、ローカルIPの割り振りはもちろん、オンプレミスネットワークやホームネットワークなどと接続して同一のネットワークのように扱うことができます。

2. 外部通信

VPCは元々閉じたネットワークのため安全であり、明示的にゲートウェイなどを設けることでインターネットやVPNと接続することができます。

  • インターネットゲートウェイ
  • 仮想プライベートゲートウェイ・VPN接続
  • VPCピア接続
  • AWS Direct Connect

3. セキュリティ

セキュリティグループとネットワークACLによって、不要な通信をブロックする通信フィルタリングが可能になります。

VPC基本設計

用途によって様々な設計ができることがメリットなので万能な設計図はありませんが、一般的なWebサービスではこの図のようなVPC構成を基本としている場合が多くなっています。

ELBやBastionなどを配置するパブリックなサブネットがあり、アプリケーションが動いているEC2を配置するプライベートサブネット、さらにその奥にDBレイヤーとなるプライベートサブネットの3レイヤー構成で、それぞれMulti AZ(Availability zone)となるので合計6つのサブネットを作成します。

アプリケーションが動作しているEC2をプライベートに配置し、インターネットからの流入はELBからのアクセスだけに絞ることでセキュリティを高める設計です。
ただ、このままではEC2からyum updateやapt-get updateが通らないので、パブリックサブネットにNATを配置して内部から外部への確保をする方法が一般的です。

単純な攻撃例

では、パブリックなサブネットにEC2を立ててWebサービスを提供するとどういった危険が考えられるでしょうか。
普段ブラウザとドメインを使ってWEBサイトなどにアクセスしていますが、nslookupというコマンドを使えばサーバ自体のIPアドレスが取得できます。

$ nslookup xxxxxxxxxx.com
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: xxxxxxxxxx.com
Address: xxx.xxx.xxx.xxx

このIPアドレスに対して、nmapでポートスキャンをかけます。

$ nmap xxx.xxx.xxx.xxx

Starting Nmap 7.40 ( https://nmap.org ) at 2017-00-00 00:00 JST
Nmap scan report for xxxxxxxxxx.com (xxx.xxx.xxx.xxx)
Host is up (0.0095s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp closed smtp
80/tcp open http
443/tcp closed https
3000/tcp closed ppp

対象となるサーバで開いているポート(外部からの通信を受け付ける玄関のようなもの)が簡単に取得できてしまいます。
ちなみにこの結果は、設定したAWS EC2サーバのセキュリティグループと一致します。

見つけたopenポートに対し、hydraなどのツールでブルートフォースアタック(総当たり攻撃)を仕掛ける、またはミドルウェアのバージョン情報を取得し、既知の脆弱性を使用したシステムへの侵入が可能となるわけです。
hydraについてはnmapのようなセキュリティチェック目的以外の用途になるので詳細は割愛しますが、たったこれだけの古典的かつ簡単な攻撃によってすぐにサーバが危険に晒されることになります。
※他人の所有するサーバに対して不正アクセスする行為は当然犯罪に問われます

昨今、サイバー攻撃という言葉をよく耳にするようになりましたが、こうした攻撃は日本国内からとは限りません。
アジアやヨーロッパなど我々の常識的な法体系から外れた国を経由して攻撃してくるということは十分考えられることです。
このため、パブリックなサブネットにポートを解放したEC2を設置するというのは、せっかくのVPCのメリットがあまりなく、そうしたサーバに個人情報など重要な情報を置くべきではありません。

まとめ

VPCはインターネットに露出するインスタンスを最小限に抑えて危険を防いだり、複数のAvailability zoneを含んで可用性を高めたり、設計によって独自のネットワークを構築できるというところが、昔から存在する様々なサーバ関連のサービスと異なるAWSの大きな特徴です。

AWS技術知見
nmap VPC ネットワーク設計

関連記事

  • aws-route53
    AWS機能を網羅してみよう3.3 Route53編「実践」DNSフェイルオーバー
  • AWSのクラウドセキュリティ「責任共有モデル」とは?
  • ansible
    AWSのためのAnsible入門
  • aws-s3
    Amazon S3でGlacierを活用したコスト削減法
  • aws-route53
    AWS機能を網羅してみよう3.2 Route53編「実践」
  • aws-s3
    Amazon S3で署名付きURLを使ったアクセス制御
  • aws-route53
    AWS機能を網羅してみよう3.1 Route53編「概要」
  • aws-waf
    AWS WAFでSQLインジェクションと特定URLをブロック
検索
clouddx003-low.pdf - 1.8MB
資料ダウンロードはこちら
人気記事
  • terraform
    Terraformと変数(variable)のお話
    Terraform
  • aws-s3
    Amazon S3で署名付きURLを使ったアクセス制御
    AWS技術知見
  • AWS導入支援
    amazonクラウド、AWSとは?何ができるかデメリット含めわかりやすく説明
    AWS導入支援
  • WordPress高速化!6つの簡単な方法で重さを改善
    WordPress
  • ansible
    AWSのためのAnsible入門
    AWS技術知見
  • WordPress脆弱性の原因とやっておくべき7つの対策
    WordPress
  • 【実例20選】AWS導入企業、活用事例をご紹介
    AWS導入支援
新着記事
  • AWS運用代行企業5選!企業選びのポイントを解説
    AWS運用代行
  • AWS運用代行のサービス内容やメリットについて
    AWS運用代行
  • 10分でスタート!AWSの利用開始までを解説
    AWS導入支援
  • WordPress脆弱性の原因とやっておくべき7つの対策
    WordPress
  • WordPress高速化!6つの簡単な方法で重さを改善
    WordPress
カテゴリー
  • AWS導入支援
  • AWS技術知見
    • Rancher
    • Terraform
  • AWS運用代行
  • WordPress
タグ一覧
AI (3) aws (25) aws-cli (3) CloudFormation (1) CloudSearch (3) DeepLearning (1) DNS (2) Docker (4) EBS最適化オプション (1) ec2 (7) ElasticBeanstalk (1) Geo Routing (1) Gitlab (1) HA (1) infrastructure-as-code (1) keypair (1) load-balancer (1) nginx (2) OpenAM (3) Rancher (8) Rekognition (2) Route53 (3) s3 (2) secrets (1) security-group (1) Terraform (6) terragrunt (2) tfvars (1) variable (1) vault (1) VPC (1) wordpress (3) アプリケーション (1) オンプレミス (2) クラウド (2) サインアップ (1) シングルサインオン (3) セキュリティ (1) セキュリティグループ (1) ネットワーク設計 (1) 人工知能 (2) 初心者 (1) 本番運用 (1) 画像認識 (3) 起動 (1)
アーカイブ
  • 2022年9月
  • 2022年7月
  • 2022年6月
  • 2022年5月
  • 2022年4月
  • 2017年7月
  • 2017年6月
AWSエンジニア積極採用!
採用情報
フリーランスの求人情報!
テックブレイン

スーパーソフトウエアはAWSパートナーネットワーク(APN)のコンサルティングパートナーです。

スーパーソフトウエアはRancherパートナーネットワークのコンサルティングパートナーです。

logo

カプセルクラウドはAWSクラウドのマネージドサービスです。AWSを安心かつ迅速に導入し、負荷分散・セキュリティ・DevOps・コスト削減など、クラウドサービスのメリットを活かした豊富なベストプラクティスをご提供いたします。

Contents

  • サービス
  • 導入支援
  • WordPress
  • 導入事例
  • ブログ
  • Q&A
  • お問い合せ
  • 資料ダウンロード

お問い合わせ

株式会社スーパーソフトウエア
東京 03-6721-7105
大阪 06-4707-6001
info-capsulecloud@tokyo.supersoftware.co.jp

  • プライバシーポリシー
  • 免責事項
  • 契約約款
  • 特商法に基づく表記
  • 会社情報
  • サイトマップ

© Supersoftware 2017. All rights reserved.

目次