本文へジャンプします。

TOP

クラウドデザインパターン

クラウド トップ>クラウドデザインパターン>【ニフクラ活用基本編】ファイアウォールグループ活用パターン

【ニフクラ活用基本編】ファイアウォールグループ活用パターン

ファイアウォールでアクセス制御するパターンです。

解決したい課題/要求事項

  • 標準的なWeb、AP、DBシステムにおいて、Web、AP、DB間のセキュリティを担保したい

ニフクラでの解決パターン

  • ニフクラで提供しているファイアウォールを利用して用途ごとにファイアウォールグループを作成する

image

実装
  • ニフクラでは、システムのセキュリティを高める機能として、ファイアウォール機能を提供している

  1. Web層、AP層、DB層別に作成する仮想サーバーに対し適用するファイアウォールグループをそれぞれ作成する

  2. AP層のファイアウォールグループ②にはWeb層のファイアウォールグループ①からの通信を許可するルールを設定する

  3. DB層のファイアウォールグループ③にはAP層のファイアウォールグループ②からの通信を許可するルールを設定

  4. メンテナンスのためサーバーにログインする通信は経路により適切に設定する

  5. 各層の仮想サーバー作成時に、1で作成したファイアウォールグループを選択し、適用する

  6. AP層、DB層の仮想サーバーは、直接インターネット接続させないよう、グローバルNICを外す

補足
  • ニフクラのファイアウォールグループのルールでは、別のファイアウォールグループの指定が可能

    • これにより、仮想サーバーをファイアウォールで分離し、用途別にアクセスを制限可能

  • グローバルIPアドレスを利用しないサーバーでプライベートLANのNICにIPアドレスを付与する際は以下の方法で設定可能

  • 仮想サーバーで共通グローバルネットワークを利用する場合のIPアドレス、デフォルトゲートウェイなどの情報については クラウド技術仕様/制限値(IPアドレス)を参照する

  • 共通グローバルネットワーク、共通プライベートネットワークについての仕様は クラウド技術仕様/制限値(ネットワーク:共通ネットワーク)を参照する

注意点
  • DB層のサーバーへインターネットから接続できないため、メンテナンスなどでの経路をどうするか検討が必要(コンソールを利用する、拠点間VPNゲートウェイを利用するなど)

本パターンの構成要素

本パターンを実現するためのニフクラサービス構成要素例は以下表の通りです。

サービス名

タイプ

用途

数量

備考

c2-medium

Webサーバー

1

c2-medium

APサーバー/DBサーバー

2

グローバルIPアドレスを利用しない

2

3

高速フラッシュドライブ[A/B] 100GB

1

A/Bいずれでも可

1

任意で利用

terraform サンプル

本パターンについてterraformで作成可能なサンプルをGitHubで公開しています。
ご参考にしてください。
> ファイアウォールグループ活用パターン Terraformサンプル


アンケートフォーム

導入のご相談はお電話でも受け付けております。

0120-22-1200

0120-22-1200

受付時間:9:00~17:45(土日祝・当社指定の休業日を除く)
※携帯電話・PHSからもご利用可能