CHANGE エンジニア BLOG

株式会社チェンジ エンジニア ユニットによる情報発信BLOG

これでOK!awsで妥当なセキュリティーで大規模でもないwebシステム構成

こんにちは、株式会社チェンジのコーイチです。

拡張を見据えてスモールスタート、セキュリティーも妥当なレベルで確保したい!
そんなときawsでインフラ構築するなら、とりあえずこんな感じでやっとけばOKです。
※個人の感想です、指摘歓迎なので、不備・ご意見があれば是非お知らせください。

構成図

f:id:mr51:20170927184716p:plain

方針と施策
  • EC2が基本の構成 ※こちらは前提とします
  • XXXXサーバーが落ちて、XXXXサービスが止まっていたを極力減らす
    • メール送信はSESを利用:メールサーバーが落ちる対策のほか、外部化しておくことでアプリケーション・サーバーを変更してもSPF / DKIM などの設定に影響を受けないメリットが有る
    • RDSを利用:落ちにくい、復旧する、マルチa-zまである、データさえ無事ならなんとかなるものなので使っておこう
  • SSL更新を忘れてサービスが止まるのも嫌だ
    • ELBを活用:SSL証明書を自動更新することができ、webサーバを隠蔽することもできる
  • 不必要な外部からのアクセス経路をできるだけ閉じる
    • VPC、サブネット、セキュリティーグループ設定、グローバルIPの非アサインなど適切に設定、詳細は構成図を参照
経緯
  • 社内でセキュリティーの説明を求められて書かされた作成した資料の2次利用です
  • どんな脅威に対しどう対応するか、社内のセキュリティーコンサルのメンバーのレビューを受け、脅威に対する対策の確認ができたのでそこそこ妥当な仕上がりのはず
  • 大規模でもないシステムの全体構成紹介記事はあまり見ないので、困っている人の参考になれば幸いです