Amazon EC2 で ArcGIS Server の包括的なセキュリティ対策を立てるには、いくつかの異なるレベルでセキュリティを計画する必要があります。次の質問について考えてみます。
- Amazon アカウントを使用して ArcGIS Server サイトを作成および破棄できるのは誰ですか。
- EC2 インスタンスにログインして、新しいソフトウェアをインストールしたり、サーバーを直接管理できるのは誰ですか。
- EC2 上で実行中のサーバーを確認できるのはどのコンピューターですか。また、どのような目的で確認できますか。
- サイトにユーザー、公開者、または管理者として接続できるのは誰ですか。
- 特定のサービスへのアクセスを許可され、他のサービスへのアクセスを拒否される必要があるユーザーは存在しますか。
- Web アプリケーションにログインは必要ですか。
上記のすべての質問に適切に答えることができる安全なソリューションを構築するには、さまざまなセキュリティ技術を理解し、使用する必要があります。このトピックでは、これらのセキュリティ技術を適用する方法について説明します。
クラウド管理環境のセキュリティ保護
Amazon IAM (Identity and Access Management) を使用すると、AWS アカウントに対してさまざまなレベルの権限を持つユーザーのグループを管理できます。Cloud Builder にログインする前に、IAM を使用して、アカウントへのアクセス権限を持つ少なくとも 1 人のユーザーを作成する必要があります。その後、そのユーザーに関連付けられたアクセス キーとシークレット アクセス キーをダウンロードする必要があります。Cloud Builder に最初にログインしたときに、これらのキーを保存するか、またはログインのたびに要求するかを決定できます。
ArcGIS Server on Amazon Web Services の高度な管理は、AWS マネジメント コンソールを使用して実行されます。EC2 インスタンスの起動または終了、Amazon Elastic Load Balancer (ELB) および Elastic IP の設定、仮想環境での他の管理機能を実行する前に、Amazon アカウント名とパスワードを使用してログインする必要があります。ログインすることにより、アカウントのアクティビティと課金情報を表示することもできます。
Amazon アカウント名、パスワード、アクセス キー、およびシークレット アクセス キーは、Cloud Builder や AWS マネジメント コンソールを使用してリソースを正しく起動、編集、終了する方法を理解している、組織内の少数のユーザーのみと共有してください。未熟な多数のユーザーにアクセスを許可すると、配置が脆弱になり、システムで重大な中断が発生したり、アカウントに過大に課金されることがあります。この種の問題により、最終的に外部ハッカーからの攻撃よりも大きな被害が発生することがあります。
Amazon は、アカウント名とパスワードに加えて、AWS マネジメント コンソール用のオプションの保護レイヤーを提供しています。このオプション、AWS Multi-Factor Authentication では、ユーザーが保有する小型のハードウェア デバイスにより生成された 6 桁のコードが必要となります。このコードは頻繁に変更されます。このため、悪意のあるユーザーがアカウント名とパスワードを取得しても、そのユーザーは AWS マネジメント コンソールにログインすることができません。
インスタンス管理のセキュリティ保護
Cloud Builder または AWS マネジメント コンソールへのログインは、Amazon EC2 における ArcGIS Server 管理の 1 つの側面にすぎません。クラウド配置設定の別の部分として、EC2 インスタンスへのログイン、データの転送、GIS サービスとアプリケーションの設定があります。
Windows EC2 インスタンスへの初回ログインでは、キー ペア ファイルを使用して取得した、ランダムに生成されたパスワードを使用して、コンピューターの管理者としてログインします。安全な場所にキー ペア ファイルを保存してください。次に、インスタンスに初めてログインしたときに、パスワードを覚えやすいものに変更する必要があります。パスワードを何かに書き留めたり、ローカル コンピューター上のいずれかの場所にプレーン テキストで保存することは安全ではありません。
ヒント:
Windows Server 2012 の複雑さの要件を満たすパスワードを選択してください。この要件は以下のとおりです。
- パスワードには、ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
- パスワードの長さは 8 文字以上にする。
- パスワードには、以下の 4 つのカテゴリのうち 3 つから文字を使う。
- 英大文字 (A ~ Z)
- 英大文字 (a ~ z)
- 10 進数の数字 (0 ~ 9)
- 英数字以外の文字 (!、$、#、% など)
インスタンスにログインしたら、必要に応じて Windows のツールを使用し、ログインできる非管理ユーザーを定義することができます。
外部からの攻撃に対するインスタンスのセキュリティ保護
すべての EC2 インスタンスは、ファイアウォールを使用して不適切なアクセスや不明な外部からのアクセスから保護されます。セキュリティ グループを作成し、各グループの IP アドレス、ポート、およびプロトコルの範囲に対してアクセスを許可することにより、ファイアウォールを設定します。新しい EC2 インスタンスを起動するたびに、インスタンスが属するセキュリティ グループを指定する必要があります。
デフォルトでは、新しいセキュリティ グループはいかなるアクセスも許可されません。少なくとも、EC2 インスタンスへのログインとサーバーのテストを行うリモート デスクトップ アクセスおよび HTTP アクセスを許可する必要があります。手順については、「ArcGIS Server の Amazon EC2 セキュリティ グループの利用」をご参照ください。また、 ArcGIS Server on Amazon Web Services に適したセキュリティ グループの考え方については、「セキュリティ グループの一般的な構成」をご参照ください。
ArcGIS Server Cloud Builder on Amazon Web Services を使用してサイトを作成すると、ユーザーのためにセキュリティ グループが作成され、設定されます。セキュリティ グループで必要なポートが開かれ、サイトを機能させることができますが、必要に応じて AWS マネジメント コンソールを使用してそのセキュリティ グループの設定を微調整することができます。たとえば、Windows リモート デスクトップを使用していずれかのインスタンスにログインする場合は、ポート 3389 を開く必要があります。
Amazon Security Center には、EC2 のセキュリティで保護されたアーキテクチャの設計に必要なホワイト ペーパーやベスト プラクティス ドキュメントが用意されています。これらのガイドラインは、 ArcGIS Server on Amazon Web Services に適用可能です。
GIS Web アプリケーションおよびサービスのセキュリティ保護
Web サービスおよびアプリケーションへのアクセスは、Amazon EC2 の外部の ArcGIS Server で使用されるものと同じセキュリティ メカニズムを使用して管理されます。これらは、ArcGIS ヘルプの「ArcGIS Server サイトのセキュリティ」で説明しています。
ArcGIS Server Manager の [セキュリティ] タブは、ユーザーとロールの設定、およびサービスにアクセスできるユーザーの選択に役立ちます。ArcGIS Server には、クラウドベースのサイトで有益なオプションであるユーザー ストアとロール ストアが組み込まれています。クラウドベースのサイトはローカル ネットワーク上のユーザー ストアにアクセスできません。