概要
あなたは AnyCompany のネットワークセキュリティエンジニアとして勤務しているとします。AWS で安全なネットワークインフラストラクチャを作成し、今後の AnyCompany のクラウドへの移行に備える責任を担っています。現在 AnyCompany には、次の 3 層から成るオンプレミスのネットワークセキュリティインフラストラクチャがあります。
- パブリックアクセスゾーン。ウェブサーバーへのプライマリ接続ポイントとして機能するロードバランサーをホストしている。
- ウェブサーバーゾーン。ウェブサイトのフロントエンドサーバーをホストしている。
- データベースゾーン。ウェブサイトにデータを提供するバックエンドデータベースサーバーをホストしている。
各ゾーンを安全に分け、特定の種類のトラフィックのみがゾーン間を流れるようにして、会社のウェブサイトとアプリケーションをサポートする必要があります。
このラボでは、パブリックサブネット、プライベートサブネット、セキュリティグループ、ネットワーク ACL を使用して、3 つのセキュリティゾーンから成るネットワークインフラストラクチャを作成します。その後、VPC フローログを使用して、各ゾーンのリソースに到達するトラフィックをモニタリングし、必要なトラフィックのみが許可されていることを確認します。
目標
このラボを修了すると、次のことができるようになります。
- 3 つのセキュリティゾーンから成るネットワークインフラストラクチャを作成する。
- セキュリティグループ、ネットワーク ACL、パブリックサブネット、プライベートサブネットを使用してネットワークセグメンテーションを実行する。
- VPC フローログを使用して EC2 インスタンスへのネットワークトラフィックをモニタリングする。
技術知識の前提条件
このラボを適切に完了するには、AWS マネジメントコンソールの操作方法に精通していて、基本的なネットワークの概念を理解している必要があります。
所要時間
このラボは、完了までにおよそ 45 分かかります。
アイコンキー
このラボでは、さまざまな種類の手順と注記への注意を促すため、各種アイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。
- コマンドまたは編集済みファイルの出力の検証に使用できるサンプル出力
- ヒントや重要なガイダンス
- 詳細情報が記載されている場所
- 特記事項または重要な情報 (この情報を読み忘れると、機器やデータに問題が発生するというわけではありませんが、特定のステップを繰り返す必要が生じる可能性があります)
- 少し立ち止まって、自分の環境での適用方法を検討したり、学習しているトピックに関する話し合いを開始したりできる場所
- 知識の確認と学習した内容のテスト
- 質問や課題のヒント
環境の概要
以下の図は、ラボ環境の基本的なアーキテクチャを示しています。
以下、この図に示されている主なリソースについて説明します。
- VPC: 1 つ目のアベイラビリティーゾーンにあるパブリックサブネット 1 つおよびプライベートサブネット 2 つと、2 つ目のアベイラビリティーゾーンにあるパブリックサブネット 1 つで構成される。
- Network Load Balancer: 各パブリックサブネットに 1 つずつ、合計 2 つのノードがある。
- EC2 インスタンス: ウェブサーバーとして機能し、1 つ目のプライベートサブネットとなる。
- EC2 インスタンス: 2 つ目のサブネットでデータベースサーバーとして機能する。
- 2 つのセキュリティグループ: 用途に基づいてインスタンスごとに 1 つずつ設定されている。
ネットワークトラフィックは、外部ユーザーからインターネットゲートウェイを経由して、Network Load Balancer の 2 つのノードのいずれかに流れ、その後、ウェブサーバーに流れます。ウェブサーバーで実行している WordPress ブログサイトの URL がリクエストされると、トラフィックはデータベースサーバーにも流れます。
このラボプラットフォームでは、現在 Application Load Balancer の証明書の作成が制限されているため、代わりに Network Load Balancer を使用します。ロードバランサーは、ウェブサーバーへの着信トラフィックのパススルーとして動作し、トラフィックを分析したり、変換したりすることはありません。本番環境では、Application Load Balancer を使用してクライアントからの HTTPS リクエストをウェブサーバーに到達する前に許可し、処理するなど、その他の特徴を利用したり、セキュリティ対策を活用したりすることを検討できます。各種 Elastic Load Balancer の特徴の詳細については、このラボの最後にある「その他のリソース」セクションの「Elastic Load Balancing 製品の比較」を参照してください。