Amazon Elastic Compute Cloud (EC2) で包括的なセキュリティ対策を立てるには、いくつかの異なるレベルでセキュリティを計画する必要があります。
Web サービスおよびアプリケーションへのアクセスは、Amazon Elastic Compute Cloud の外部の ArcGIS Enterprise で使用されるものと同じセキュリティ メカニズムを使用して管理されます。これについては、ArcGIS Server および Portal for ArcGIS のヘルプで説明されています。
加えて、クラウドの配置に固有のセキュリティに関する検討事項があります。以下のセクションでは、Amazon Web Services (AWS) 上の配置に固有のセキュリティに関する検討事項およびアプローチの一部について説明します。
クラウド管理環境のセキュリティ保護
AWS Management Console や AWS コマンド ライン インターフェイスなどの AWS ツールを使用すると、AWS 上の ArcGIS 配置に対して高度な管理を実施できます。これらの管理タスクには、Amazon Elastic Load Balancer (ELB) と Elastic IP の構成、Amazon Simple Storage Service (S3) バケットの作成、アカウントのアクティビティと課金情報の表示などがあります。
Amazon では、Amazon IAM (Identity and Access Management) ロールを使用して、AWS アカウントに対するさまざまなレベルの権限を持つユーザーのグループを管理することを推奨しています。IAM を使用して、AWS アカウントへのアクセス権限を持つ少なくとも 1 人のユーザーを作成し、そのユーザーに関連付けられたアクセス キーとシークレット アクセス キーをダウンロードします。IAM ロールは次の ArcGIS Enterprise ワークフローで使用されます。
Amazon アカウント名、パスワード、アクセス キー、およびシークレット アクセス キーは、Management Console、コマンド ライン ツール、API などの AWS ツールを使用してリソースを正しく起動、編集、終了する方法を理解している、組織内の少数のユーザーのみと共有してください。未熟な多数のユーザーにアクセスを許可すると、配置が脆弱になり、システムで重大な中断が発生したり、アカウントに過大に課金されることがあります。この種の問題により、最終的に外部ハッカーからの攻撃よりも大きな被害が発生することがあります。
Amazon は、アカウント名とパスワードに加えてオプションの保護レイヤーを提供しています。この AWS Multi-Factor Authentication オプションでは、ユーザーが保有する小型のハードウェア デバイスにより生成された 6 桁のコードが必要となります。このコードは、悪意のあるユーザーがアカウント名とパスワードを取得しても、AWS Management Console からアカウントにログインすることができないように、頻繁に変更されます。
インスタンス管理のセキュリティ保護
AWS ツールを使用したアカウントと EC2 インスタンスの管理は AWS における ArcGIS Server 管理の 1 つの側面にすぎません。クラウド配置の設定の他の部分は、EC2 インスタンスにログインして、ソフトウェアの認証またはアップグレード、ArcGIS Enterprise とともにインストールされたツールの実行、データの転送、アプリケーションの構成、およびログインの追加を行うことです。
Microsoft Windows EC2 インスタンスへの初回ログインでは、キー ペア ファイルを使用して取得した、ランダムに生成されたパスワードを使用して、コンピューターの管理者としてログインします。安全な場所にキー ペア ファイルを保存してください。次に、インスタンスに初めてログインしたときに、パスワードを覚えやすいものに変更する必要があります。パスワードを何かに書き留めたり、ローカル コンピューター上のいずれかの場所にプレーン テキストで保存することは安全ではありません。
ヒント:
Microsoft Windows Server の複雑さの要件を満たすパスワードを選択してください。この要件は以下のとおりです。
- パスワードには、ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
- パスワードの長さは 8 文字以上にする。
- パスワードには、以下の 4 つのカテゴリのうち 3 つから文字を使う。
- 英大文字 (A ~ Z)
- 英大文字 (a ~ z)
- 10 進数の数字 (0 ~ 9)
- 英数字以外の文字 (!、$、#、% など)
インスタンスにログインしたら、Windows のツールを使用し、ログインできる非管理ユーザーを定義することができます。
外部からの攻撃に対するインスタンスのセキュリティ保護
すべての EC2 インスタンスは、セキュリティ グループを使用して不適切なアクセスや不明な外部からのアクセスから保護されます。セキュリティ グループを構成して、ある範囲の IP アドレス、ポート、およびプロトコルへのアクセスを許可する必要があります。新しい EC2 インスタンスを起動するたびに、インスタンスが属するセキュリティ グループを指定し、インスタンスにアクセスできるユーザーを決定する必要があります。
デフォルトでは、新しいセキュリティ グループはいかなるアクセスも許可されません。少なくとも、EC2 インスタンスへのログインと配置のテストを行うリモート アクセスおよび HTTP アクセスを許可する必要があります。手順については、「ArcGIS の Amazon Elastic Compute Cloud セキュリティ グループを開く」をご参照ください。また、ArcGIS Enterprise on Amazon Web Services に適したセキュリティ グループの考え方については、「セキュリティ グループの一般的な構成」をご参照ください。
Esri のツールを使用してサイトを配置すると、自動的にセキュリティ グループが作成および構成されます。サイトが機能できるようにセキュリティ グループで必要なポートが開かれます。ただし、必要に応じて AWS ツールを使用してそのセキュリティ グループの設定を微調整することができます。たとえば、Windows リモート デスクトップを使用していずれかのインスタンスにログインする場合は、ポート 3389 を開く必要があります。
AWS Cloud Security には、EC2 のセキュリティで保護されたアーキテクチャの設計に必要なホワイト ペーパーやベスト プラクティス ドキュメントが用意されています。これらのガイドラインは、ArcGIS Enterprise on Amazon Web Services に適用可能です。