Amazon EC2 で包括的なセキュリティ対策を立てるには、いくつかの異なるレベルでセキュリティを計画する必要があります。
Web サービスおよびアプリケーションへのアクセスは、Amazon EC2 の外部の ArcGIS Enterprise で使用されるものと同じセキュリティ メカニズムを使用して管理されます。これについては、ArcGIS Server および Portal for ArcGIS のヘルプで説明されています。
加えて、クラウドの配置に固有のセキュリティに関する検討事項があります。以下のセクションでは、AWS (アマゾン ウェブ サービス) 上の配置に固有のセキュリティに関する検討事項およびアプローチの一部について説明します。
クラウド管理環境のセキュリティ保護
Amazon IAM (Identity and Access Management) を使用すると、AWS アカウントに対してさまざまなレベルの権限を持つユーザーのグループを管理できます。ArcGIS Server Cloud Builder on Amazon Web Services にログインする前に、IAM を使用して、アカウントへのアクセス権限を持つ少なくとも 1 人のユーザーを作成する必要があります。その後、そのユーザーに関連付けられたアクセス キーとシークレット アクセス キーをダウンロードする必要があります。Cloud Builder に最初にログインしたときに、これらのキーを保存するか、またはログインのたびに要求するかを決定できます。IAM ロールを使用して、可用性の高い ArcGIS Server サイトを構成することもできます。
ArcGIS Enterprise on Amazon Web Services の高度な管理は、AWS マネジメント コンソールを使用して実行されます。EC2 インスタンスの起動または終了、Amazon Elastic Load Balancer (ELB) および Elastic IP の設定、仮想環境での他の管理機能を実行する前に、Amazon アカウント名とパスワードを使用してログインする必要があります。ログインすることにより、アカウントのアクティビティと課金情報を表示することもできます。
Amazon アカウント名、パスワード、アクセス キー、およびシークレット アクセス キーは、Cloud Builder や AWS マネジメント コンソールを使用してリソースを正しく起動、編集、終了する方法を理解している、組織内の少数のユーザーのみと共有してください。未熟な多数のユーザーにアクセスを許可すると、配置が脆弱になり、システムで重大な中断が発生したり、アカウントに過大に課金されることがあります。この種の問題により、最終的に外部ハッカーからの攻撃よりも大きな被害が発生することがあります。
Amazon は、アカウント名とパスワードに加えて、AWS マネジメント コンソール用のオプションの保護レイヤーを提供しています。このオプション、AWS Multi-Factor Authentication では、ユーザーが保有する小型のハードウェア デバイスにより生成された 6 桁のコードが必要となります。このコードは頻繁に変更されます。このため、悪意のあるユーザーがアカウント名とパスワードを取得しても、そのユーザーは AWS マネジメント コンソールにログインすることができません。
インスタンス管理のセキュリティ保護
Cloud Builder または AWS マネジメント コンソールへのログインは、Amazon EC2 における ArcGIS 管理の 1 つの側面にすぎません。クラウド配置の設定の他の部分は、EC2 インスタンスにログインして、ソフトウェアの認証またはアップグレード、ArcGIS Enterprise とともにインストールされたツールの実行、データの転送、アプリケーションの構成、およびログインの追加を行うことです。
Windows EC2 インスタンスへの初回ログインでは、キー ペア ファイルを使用して取得した、ランダムに生成されたパスワードを使用して、コンピューターの管理者としてログインします。安全な場所にキー ペア ファイルを保存してください。次に、インスタンスに初めてログインしたときに、パスワードを覚えやすいものに変更する必要があります。パスワードを何かに書き留めたり、ローカル コンピューター上のいずれかの場所にプレーン テキストで保存することは安全ではありません。
ヒント:
Windows Server の複雑さの要件を満たすパスワードを選択してください。この要件は以下のとおりです。
- パスワードには、ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
- パスワードの長さは 8 文字以上にする。
- パスワードには、以下の 4 つのカテゴリのうち 3 つから文字を使う。
- 英大文字 (A ~ Z)
- 英大文字 (a ~ z)
- 10 進数の数字 (0 ~ 9)
- 英数字以外の文字 (!、$、#、% など)
インスタンスにログインしたら、必要に応じて Windows のツールを使用し、ログインできる非管理ユーザーを定義することができます。
外部からの攻撃に対するインスタンスのセキュリティ保護
すべての EC2 インスタンスは、ファイアウォールを使用して不適切なアクセスや不明な外部からのアクセスから保護されます。セキュリティ グループを作成し、各グループの IP アドレス、ポート、およびプロトコルの範囲に対してアクセスを許可することにより、ファイアウォールを設定します。新しい EC2 インスタンスを起動するたびに、インスタンスが属するセキュリティ グループを指定する必要があります。
デフォルトでは、新しいセキュリティ グループはいかなるアクセスも許可されません。少なくとも、EC2 インスタンスへのログインとサーバーのテストを行うリモート デスクトップ アクセスおよび HTTP アクセスを許可する必要があります。手順については、「ArcGIS の Amazon EC2 セキュリティ グループを開く」をご参照ください。また、ArcGIS Enterprise on Amazon Web Services に適したセキュリティ グループの考え方については、「セキュリティ グループの一般的な構成」をご参照ください。
ArcGIS Server Cloud Builder on Amazon Web Services を使用して ArcGIS Server サイトを作成するか、Esri が提供する AWS CloudFormation テンプレートを使用する場合、セキュリティ グループが自動的に作成されて構成されます。セキュリティ グループで必要なポートが開かれ、サイトを機能させることができますが、必要に応じて AWS マネジメント コンソールを使用してそのセキュリティ グループの設定を微調整することができます。たとえば、Windows リモート デスクトップを使用していずれかのインスタンスにログインする場合は、ポート 3389 を開く必要があります。
Amazon Security Center には、EC2 のセキュリティで保護されたアーキテクチャの設計に必要なホワイト ペーパーやベスト プラクティス ドキュメントが用意されています。これらのガイドラインは、ArcGIS Enterprise on Amazon Web Services に適用可能です。