Amazon EC2 での ArcGIS Server セキュリティ
Amazon EC2 で ArcGIS Server の包括的なセキュリティ対策を立てるには、いくつかの異なるレベルでセキュリティを計画する必要があります。次の質問について考えてみます。
- Amazon アカウントを使用して ArcGIS Server サイトを作成および破棄できるのは誰ですか。
- EC2 インスタンスにログインして、新しいソフトウェアをインストールしたり、サーバを直接管理できるのは誰ですか。
- EC2 上で実行中のサーバを確認できるのはどのコンピュータですか。また、どのような目的で確認できますか。
- サイトにユーザ、公開者、または管理者として接続できるのは誰ですか。
- 特定のサービスへのアクセスを許可され、他のサービスへのアクセスを拒否される必要があるユーザは存在しますか。
- Web アプリケーションにログインは必要ですか。
上記のすべての質問に適切に答えることができる安全なソリューションを構築するには、さまざまなセキュリティ技術を理解し、使用する必要があります。このトピックでは、これらのセキュリティ技術を適用する方法について説明します。
クラウド管理環境のセキュリティ保護
Amazon IAM(Identity and Access Management)を使用すると、AWS アカウントに対してさまざまなレベルの権限を持つユーザのグループを管理できます。Cloud Builder にログインする前に、IAM を使用して、アカウントに対して管理者アクセス権限を持つ少なくとも 1 人のユーザを作成する必要があります。その後、そのユーザに関連付けられたアクセス キーとシークレット アクセス キーをダウンロードする必要があります。詳細については、「よくあるご質問(FAQ)」をご参照ください。Cloud Builder に最初にログインしたときに、これらのキーを保存するか、またはログインのたびに要求するかを決定できます。
ArcGIS Server on Amazon Web Services の高度な管理は、AWS Management Console を使用して実行されます。EC2 インスタンスの起動または終了、Amazon Elastic Load Balancer(ELB)および Elastic IP の設定、仮想環境での他の管理機能を実行する前に、Amazon アカウント名とパスワードを使用してログインする必要があります。ログインすることにより、アカウントのアクティビティと課金情報を表示することもできます。
Amazon アカウント名、パスワード、アクセス キー、およびシークレット アクセス キーは、Cloud Builder や AWS Management Console を使用してリソースを正しく起動、編集、終了する方法を理解している、組織内の少数のユーザのみと共有してください。未熟な多数のユーザにアクセスを許可すると、配置が脆弱になり、システムで重大な中断が発生したり、アカウントに過大に課金されることがあります。この種の問題により、最終的に外部ハッカーからの攻撃よりも大きな被害が発生することがあります。
Amazon は、アカウント名とパスワードに加えて、AWS Management Console 用のオプションの保護レイヤを提供しています。このオプション、AWS Multi-Factor Authentication では、ユーザが保有する小型のハードウェア デバイスにより生成された 6 桁のコードが必要となります。このコードは頻繁に変更されます。このため、悪意のあるユーザがアカウント名とパスワードを取得しても、そのユーザは AWS Management Console にログインすることができません。
EC2 インスタンス管理のセキュリティ保護
Cloud Builder または AWS Management Console へのログインは、Amazon EC2 における ArcGIS Server 管理の 1 つの側面にすぎません。クラウド配置設定の別の部分として、EC2 インスタンスへのログイン、データの転送、GIS サービスとアプリケーションの設定があります。
EC2 インスタンスへの初回ログインでは、キー ペア ファイルを使用して取得した、ランダムに生成されたパスワードを使用して、コンピュータの管理者としてログインします。安全な場所にキー ペア ファイルを保存してください。次に、インスタンスに初めてログインしたときに、パスワードを覚えやすいものに変更する必要があります。パスワードを何かに書き留めたり、ローカル コンピュータ上のいずれかの場所にプレーン テキストで保存することは安全ではありません。
Windows Server 2008 の複雑さの要件を満たすパスワードを選択してください。この要件は以下のとおりです。
- パスワードには、ユーザのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
- パスワードの長さは 6 文字以上にする。
- パスワードには、以下の 4 つのカテゴリのうち 3 つから文字を使う。
- 英大文字(A ~ Z)
- 英大文字(a ~ z)
- 10 進数の数字(0 ~ 9)
- アルファベット以外の文字(!、$、#、% など)
インスタンスにログインしたら、必要に応じて Windows のツールを使用し、ログインできる非管理ユーザを定義することができます。
外部からの攻撃に対する EC2 インスタンスのセキュリティ保護
すべての EC2 インスタンスは、ファイアウォールを使用して不適切なアクセスや不明な外部からのアクセスから保護されます。セキュリティ グループを作成し、各グループの IP アドレス、ポート、およびプロトコルの範囲に対してアクセスを許可することにより、ファイアウォールを設定します。新しい EC2 インスタンスを起動するたびに、インスタンスが属するセキュリティ グループを指定する必要があります。
デフォルトでは、新しいセキュリティ グループはいかなるアクセスも許可されません。少なくとも、EC2 インスタンスへのログインとサーバのテストを行うリモート デスクトップ アクセスおよび HTTP アクセスを許可する必要があります。手順については、「ArcGIS Server の Amazon EC2 セキュリティ グループの利用」をご参照ください。また、 ArcGIS Server on Amazon Web Services に適したセキュリティ グループの考え方については、「セキュリティ グループの一般的な構成」をご参照ください。
ArcGIS Server Cloud Builder on Amazon Web Services を使用してサイトを作成すると、ユーザのためにセキュリティ グループが作成され、設定されます。セキュリティ グループで必要なポートが開かれ、サイトを機能させることができますが、必要に応じて AWS Management Console を使用してそのセキュリティ グループの設定を微調整することができます。たとえば、Windows リモート デスクトップを使用していずれかのインスタンスにログインする場合は、ポート 3389 を開く必要があります。
Amazon Security Center には、EC2 のセキュリティで保護されたアーキテクチャの設計に必要なホワイト ペーパーやベスト プラクティス ドキュメントが用意されています。これらのガイドラインは、 ArcGIS Server on Amazon Web Services に適用可能です。
GIS Web アプリケーションおよびサービスのセキュリティ保護
Web サービスおよびアプリケーションへのアクセスは、Amazon EC2 の外部の ArcGIS Server で使用されるものと同じセキュリティ メカニズムを使用して管理されます。これらは、ArcGIS ヘルプの「ArcGIS Server サイトのセキュリティ」で説明しています。
ArcGIS Server Manager の [セキュリティ] タブは、ユーザとロールの設定、およびサービスにアクセスできるユーザの選択に役立ちます。ArcGIS Server には、クラウドベースのサイトで有益なオプションであるユーザ ストアとロール ストアが組み込まれています。クラウドベースのサイトはローカル ネットワーク上のユーザ ストアにアクセスできません。