※重要※セキュリティについて
ネットワークのアクセス制限
ファイアウォール・セキュリティグループ
楽天クラウド RHOSPでは各インスタンスへの通信をセキュリティグループにて制限することができます。
セキュリティグループにて最低限のIPアドレス・ポートのみに制限することで、不正アクセスの危険性を下げることができます。
データベースやKey/Valueストアを外部から利用できる状態にしたことによる情報漏洩や、他者への攻撃に利用された事例があります。
NTTフレッツなどの家庭用回線やモバイル端末など割り当てられるIPアドレスが変わる場合は、VPN、SSH公開鍵認証、多要素認証などの利用をご検討ください。
楽天クラウドRHOSPでは次のイメージを利用可能ですので、VPNが必要な場合はご検討ください。
踏み台サーバの利用
- 踏み台サーバ (JumpサーバやBastionホストとも呼ばれます) をご用意ください。
- 踏み台サーバをインターネットからのアクセス先として利用し、他のインスタンスへは踏み台サーバを経由してログインします。
- 踏み台サーバはリモートログイン用のサービスのみで十分なため、セキュリティをより強固にすることができます。
OS・アプリケーション
- 開発元などによるサポートがあるOS・アプリケーションをご利用ください。
- サポートのないものは脆弱性が修正されないだけでなく、脆弱性の有無すらも公開されない場合があります。
- OS・アプリケーションのライフサイクルを確認し、サポートが終了する前にアップグレードや他製品への変更を計画してください。
- 不正アクセスの危険性を下げるために次の項目を実施します。
- 不要なアプリケーションを停止・アンインストールします。
- ファイル・ディレクトリのアクセス権を最小限にします。
認証
サーバの管理者アカウントやデータベースなどのアカウントを不正利用されないように設定します。
パスワード
パスワードには十分に長く(16文字以上など)、推測されないものを設定します。
また、ワンタイムパスワードや多要素認証の利用もご検討ください。
SSH認証
LinuxインスタンスなどでSSHを利用する場合は、公開鍵認証をご利用ください。
admin などのユーザに単純なパスワードを設定したことにより不正ログインされた事例があります。
通信の暗号化
- SSL/TLSを使用し、通信を暗号化してください。特に公衆無線LANやイベント提供する無線LAN等、不特定多数が利用する無線LANでは盗聴される可能性があります。
- Windowsのファイル共有など暗号化できないサービスを利用する場合は、VPNをご利用ください。
楽天クラウドRHOSPでは次のイメージを利用可能ですので、VPNが必要な場合はご検討ください。
脆弱性対応
- 使用中のOS・ミドルウェア・アプリケーションを管理し、それらの最新の脆弱性情報を収集してください。
- 脆弱性情報はソフトウェアの開発元やセキュリティ関連の組織にて公開しています。
Note
脆弱性に迅速に対応するために、アップデートやワークアラウンドを検証可能な環境をご用意ください。