 |
|
前回は、BIGLOBE クラウドホスティングにおいて、どのように仮想マシンを立ち上げるのかなどをステップ・バイ・ステップで紹介した。今回は、システムの管理、WAF(Web Application Firewall)やロードバランシングの設定を紹介していく。 BIGLOBE クラウドホスティング自体のサービスに関しては、連載「クラウド特捜部」を参考にしてほしい。 WAFは有料版以外に試用版を提供BIGLOBE クラウドホスティングでは、SQLインジェクションやバッファーオーバーフロー攻撃、クロスサイトスクリプティングなどのWebアプリケーションの脆弱性を利用した攻撃を検知するWebアプリケーションファイヤーウォール(WAF)が用意されている(ただし、Linux環境向け)。 ファイアウォール、IDS/IPSの後段にWAFを配置することで、セキュリティ性の高いシステムの運用が行えるようになる。 BIGLOBE クラウドホスティングでは、月額33,000円(税別)でWAFのサービスが利用できる(提供されているWAFは、NEC製のInfoCage SiteShell)。多くのユーザーにとっては、WAFがどういった動作をするかはそれほど知られていないし、自分が運用しているサイトにどのような攻撃が行われているかを、確認することもできない。 そこで、有料版を利用する前に、こうしたことをチェックできるよう、試用版のWAFが用意されている。WAFの評価を事前に行うことができるため、最初から無駄なコストをかけず、必要に応じてWAFを使用すればいいのだ。 なお、WAF試用版では、攻撃を検知してログを記録するが、ブロックはできない。もし、この試用版が、あまりにも多くの攻撃を検知するようなら、すぐにWAFの有料版を利用したほうがいいだろう。 BIGLOBE クラウドホスティングでは、WAF試用版に購入したライセンスIDを入力すれば、試用版が有料版へアップグレードされ、すぐにでも攻撃をブロックできるようになる。あらためてWAFを導入する必要がないので、ユーザーの負担は少ない。
WAFをインストールするWAFをインストールするには、自動と手動の2つの方法がある。1つは、サーバー作成時にWAF試用版をApacheなどと一緒に自動でインストールしてしまう方法だ。これが、一番手間がかからなくていい。 もう1つは、WAFなしで作成したサーバーに、管理者があとからWAFを手動でインストールする方法だ。BIGLOBE クラウドホスティングでは、NEC製のWAF InfoCage SiteShellのインストールパッケージがダウンロードできるようになっているため、手順に従って、仮想サーバーにインストールするだけでOKだ。
WAF試用版を設定するまずここでは、WAF試用版がすでにインストールされている場合の手順を紹介する。 サーバー作成時にWAF試用版がインストールされている場合は、運用管理コンソールにアクセスして各種設定を行う。この運用管理コンソールは、複数の仮想サーバーにインストールされたWAFを一括して管理することもできる。
有料版のライセンスを登録するには
前述のように、実際にWAFで攻撃をブロックするには、有料版を購入し、ライセンスIDをサーバーに登録する必要がある。ライセンスIDの登録は、前回紹介したターミナルエミュレータでサーバーにアクセスして登録する。 (1)WAFがインストールされているディレクトリに移動する (2)「licenseID.properties」ファイルにライセンスIDを登録する。 これで、WAFのすべての機能が利用できる。 また、常にWAFを高いセキュリティで利用するには、自動更新のアクティベーションを行う必要がある。これは、常に進化する攻撃にWAFが対応していくために必要な機能だ。 自動更新アクティベーションは、WAFのライセンスIDを購入後、管理者の電子メールにWAFライセンス購入の通知が送られてくる。そのメールに自動更新サーバーのアドレス、ポート番号が記載されている。この情報をWAFに設定すればOK。 WAFのライセンスID登録と同じようにターミナルエミュレータを使ってサーバーにアクセスする。 (1)WAFがインストールされているディレクトリに移動 (2)「OnlineUpdateServiceInstall.sh」を実行。 (3)JREの情報が表示されるので、「n」と入力。BIGLOBE クラウドホスティングのWAFは、専用のJRE(Java)を使用するため、JREのパスが異なっているため。 (4)ライセンスID情報が表示されるので、「n」と入力 (5)自動更新サーバーアドレスが尋ねられるので、メールに記述された自動更新サーバーのIPアドレスを入力。 (6)さらに、自動更新サーバーのポート番号を入力。このポート番号もメールに記述されている。 (7)プロキシーサーバーを使用していない場合は、「Enter」のみでOK。これで、WAFの自動更新サーバーの設定も済んだ。 WAFの試用版を手動でインストールする場合もし、サーバー作成時にWAF試用版を自動インストールしなかった場合は、ターミナルエミュレータでサーバーにWAF試用版を手動でインストールする必要がある。手順はマニュアルが用意されているので簡単だ。また、インストール後は運用管理コンソールが利用できる。 (1)ネットワーク・セキュリティのWAFメニューでWAFモジュールをダウンロードしておく。 (2)ダウンロードしたWAFをサーバーにアップロードする。 (3)アップロードしたファイルを実行する。 (4)SiteShellのディレクトリに移動する。 (5)インストールスクリプトを実行する。 (6)サーバー作成時にWAF試用版を自動インストールしなかった場合は、WAFの運用管理コンソールを使えるようにするため、ポート開放を行う。管理運用コンソールのWebサービス用ポートは、31106/tcpを利用する。 (7)/etc/sysconfig/iptablesをvi等で編集し、以下の行を、「REJECT」と記載してある行の上に追加し、保存する。 (8)iptableを再起動する。 (9)設定が正しく行われていることを確認する。 ロードバランサを設定するロードバランサを利用すれば、複数のサーバーに対して負荷分散を行うことができる。これを利用すれば、Webサーバーへのアクセスが多数起こるサイトの運営も遅滞なく行える。ロードバランサは、月額12,000円(税別)で使用できる。なお、帯域制限はなく、一律この料金で運用できる。特にトラフィック量の多いサイト運用の場合はお得かもしれない。
監視・リソースの設定BIGLOBE クラウドホスティングでは、仮想サーバーのリソース監視、ポートやPing監視などを設定することができる。これらの監視をうまく利用することで、CPUやディスク容量といったリソースが圧迫されていないかを、チェックすることができる。
ここまで見てきたように、BIGLOBEクラウドホスティングは、企業ユーザーが利用するには最適なクラウド環境だろう。設定や導入は難しくないし、WAF やロードバランサなどのオプションも提供されている。さらに、BIGLOBEが別途提供しているPaaS型のWeb ホスティングとも連携できるため、柔軟なサーバー構成を、高いセキュリティ性をもって構築できる。 また、VPN サービスなどを利用すれば、クラウドのサーバーを自社のサーバーとして取り込み利用することも可能だ。BIGLOBE クラウドホスティングのプライベートLANは他社と共有ではなく、ユーザー専用で利用できるため、VPNでプライベートLANにアクセスする際も安心だ。クラウドは、インターネット上に置かれているため、セキュリティ的に問題と感じるユーザーもVPN とプライベートIPアドレスの仕組みを利用すれば、安全にクラウドを利用することができる。また、自社のオンプレミスから段階的にパブリッククラウドにシステムを移行することもできるだろう。 
何よりもクラウドのメリットは、必要なときに、必要なサービス、リソースを利用できること。こうした特徴をうまく使えば、コスト的にも大きなメリットがある。加えて、BIGLOBE クラウドホスティングでは、従量制だけでなく、ヘビーユースの場合にコスト効率が高くなる月額利用料金も用意しているため、あらゆるケースで採用しやすいだろう。 今後の企業システムは、BIGLOBE クラウドホスティングのようなセキュリティ性の高いパブリッククラウドサービスと、自社のオンプレミス、あるいはプライベートクラウドを利用した、ハイブリッドクラウド環境へと切り替わっていくだろうとの見方がIT業界では一般的になってきているが、そのきっかけとして、まずはBIGLOBE クラウドホスティングを試してみてはいかがだろうか。 (Reported by (山本 雅史)) なお、最長3ヶ月間、BIGLOBEクラウドホスティングのサーバーを無料で試せる「イージー3」プランの利用が可能だ。一定期間クラウドを試してみて気に入れば、そのまま通常利用(有料)ができる。「イージー3」プランの詳細や申込方法はWebで確認できる。
BIGLOBEクラウドホスティング 「イージー3」プラン |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
[PR]企画・製作 株式会社 Impress Watch 営業統括部 |
