お疲れ様です、Takeuchiです。
今回は業務で知った内容を備忘録的な感じで書こうかと思います。
先日、担当しているシステムでセキュリティの見直しがあり
危険なIPからのアクセスについては遮断しようという事になりました。
基本、IPの許可&遮断をする場合はLinuxだとiptablesを修正するため
設定変更後はサービスの再起動が必要になるので顧客への影響もでます。
ただ私が担当しているシステムはAWSにシステムを載せているため
AWSマネージメントコンソール画面からセキュリティグループを変更すれば許可&遮断できます。
また、変更した設定は再起動せずに反映できるため、顧客への影響もありません。
さて、AWSマネージメントコンソールからセキュリティグループを変更しようとしたところ...
「許可」「遮断」の設定項目がない!!!
そんなバカなと思いググったところ
「EC2 Classicタイプのデフォルトでは、クラスターへのネットワークアクセスは
無効になっています。アプリケーションからキャッシュクラスターに
アクセスできるようにするには、特定の Amazon EC2 セキュリティグループの
ホストからのアクセスを明示的に有効にする必要があります。」と、書いてある。
要約すると・・・
「EC2 Classicタイプ初期設定はネットワークアクセスは遮断」
「アクセス開放するためには設定する必要がある」
つまり、個別アクセス遮断の設定が無い(泣)
AWSのクラウドには古い「EC2 Classicタイプ」と新しい「VPCタイプ」があり
VPCのセキュリティグループには「許可」「拒否」の項目があるのですが
EC2 Classicには「許可」設定しかできないらしい。
これはAWSにやられました(><
結局、iptablesの設定で遮断するしかないようです。
顧客へ影響があるので、設定変更は業務調整し近日中に行うということになりました。
AWSだから簡単に設定出来ると思っていたんですが残念です。
セキュリティはシステムにとって重要な設定項目です。
またインシデントが発生すると大変です。
セキュリティの見直しと同時にセキュリティの設定方法についても
一度確認しておきましょう。