VPNいいよVPN
メッセサンオーで個人情報が漏洩したみたいだ。
http://internet.watch.impress.co.jp/docs/news/20100402_358712.html
http://slashdot.jp/security/article.pl?sid=10/04/06/0655212
それに便乗して、自社とデータセンター(DC)を接続するにはVPNが最高だということについて書いてみる。
メッセサンオーの失敗から学ぶべきことは一つだと思う。
管理ページ等の重要なページを誰でも利用可能な公開されているサーバにあげてはいけないということだ。
ではどうするか?
そこでVPNですよ。
管理ページは一番下の管理ページ用サーバが引き受ける。
どうしてもサーバが追加できない場合は、公開しているwebサーバでポート番号をずらした領域にもおくといい。
グローバルIPをもっていて外から攻撃を受けるのはFWに限定される。
そこから必要なポート(80,443)をポート転送して内部に伝える。
内部ネットワークはすべてローカルIPで構築する(もちろん例外もある)。
こうすることで、管理用webページには外からアクセスが不可能になる。
やった。これで誰もアクセスできないぞ!!
で、誰もアクセスできないと困るので、自社内からデータセンターに向けてVPNを張る。
もちろん、VPNを張る範囲はIPアドレス制限を行う。
これで、自社内からは、 データセンターにおいているすべての機器に対してアクセスが可能になる。
(これが社内ポリシー的によくないならVLAN等ご自由に)
外部からは、データセンターのFW経由でしかアクセスできない。
自社内からのみ、172.16.1.3 で管理ページをもっているサーバに接続が可能にできる。
これだと、管理ページに多少のバグがあったとしても、そもそも外部からアクセスできないわけだからたいした影響はない。
その上、自社とデータセンター間の経路はVPNで暗号化されるのだから、セキュアである。
こんなに便利なVPNをなぜみんなもっと使わないの不思議で仕方ない。
そのほかの利点。
1.ガンブラー(Gumblar)にも強い(多分)
ガンブラー(Gumblar)って盗み出した ftp パスワードを外部ネットワークに送信し、それを見たクラッカーがftpでアクセスしページを書き換えるというフローでなりたっている(はず)。
VPNを張っていれば、たとえパスワードを盗み出されてしまっても、まったく問題ない。
なぜなら、データセンターのサーバはftpが開いていないからだ。
ftpにログインするには、自社内LANから、VPNを経由してアクセスしないといけない。
よって、パスワードを盗み出されようとページが書き換えられることはない(多分)。
2.全サーバに踏み台なしでアクセス可能
すべてのサーバに一切の踏み台を利用しないでアクセスが可能になる。
もし、VPNを利用しないければ、一度フロントとなるサーバにアクセスし、そこから別のサーバにアクセスしないといけない。
踏み台を使う場合
VPNの場合
しかし、VPNの場合はまったく関係ない。
VPNはLAN同士の足し算なのだから、データセンターにあろうが、自社内にあろうが、そんなことはどうでもよい。
何も考えずにデータセンターのサーバのIPアドレスを入力すれば自由にアクセスが可能になる。
しかもその経路はすべて暗号化されとてもセキュアだ。
こんなに便利すぎるVPNなのに、なぜみんなもっともっと利用しないのか不思議だ。。。
珍しくセキュリティと利便性を併せ持つのに。
一度この利便性に慣れてしまうと、元には戻れなくなる。
いまさら踏み台を経由しないとサーバにアクセスできないとかダルすぎて仕方ない。
もっと活用するべきだと思う。