こんにちは、UOZUです!
さくらのクラウドで、セキュリティコントロール機能に「セキュリティ基準の準拠スコアUI表示」が追加され、あわせて「さくらのクラウド セキュリティ基本原則 v1」が公開されました。
以前から、さくらのクラウドには「最適設計ガイドライン」が公開されていましたが、今回の基本原則では、セキュリティコントロールの評価ルールと対応する形で、より具体的な基準や実装方法が整理されています。設計・構築時のセキュリティ要件を確認するうえで、参考にしやすい内容になっていると感じます。
さくらのクラウド セキュリティ基本原則 v1とは
「さくらのクラウド セキュリティ基本原則 v1」は、さくらのクラウドをより安全に利用するための設計・運用上の考え方をまとめた基準です。
セキュリティコントロールの評価ルールと関連付けて確認できるため、単に「どの設定が望ましいか」を確認するだけでなく、「なぜその構成が推奨されるのか」「どのように実装すればよいのか」まで把握しやすくなっています。
特に、これからさくらのクラウド上でサーバーやデータベース、ネットワークを構築する場合には、設計段階で確認しておきたい内容です。
評価ルールと実装方法が確認しやすい構成に
今回の基本原則では、各セキュリティ項目について、ルールの詳細だけでなく実装方法の例も記載されています。
そのため、設計構築時に「どの設定を避けるべきか」「どの構成が推奨されるか」を確認しやすくなっています。
たとえば「パブリックアクセスの制限」では、サーバー、データベース、データウェアハウスなどのリソースを、必要最小限の範囲でのみアクセス可能にすることが求められています。インターネットからの直接アクセスを避け、可能な限りプライベートネットワーク内に配置する考え方が記載されています。
パブリックアクセスの制限
すべてのリソース(サーバー、データベース、データウェアハウスなど)は、必要最小限の範囲でのみアクセス可能であるべきです。特に、インターネットからの直接アクセスを避けるため、プライベートネットワーク内に配置してください。
実装方法
・共有セグメントへの接続を避け、専用のスイッチやルーターを使用する
・パブリックIPアドレスの割り当てを制限し、必要に応じてNATゲートウェイを介して外部通信を行う
対応する評価ルール
・server-no-public-ip
・dba-no-public-ip
・addon-datalake-no-public-access
・addon-dwh-no-public-access
パブリックアクセス制限では共有セグメントの利用に注意
さくらのクラウドで安価かつシンプルにサーバーを構成する場合、共有セグメントを利用してインターネットへ接続するケースがあります。
セキュリティ基本原則の考え方に沿う場合は、すべてのリソースをインターネットへ直接公開するのではなく、必要な通信のみを許可する構成が重要になります。
そのため、共有セグメントへの直接接続を避け、専用のスイッチやルーターを利用した構成、またはVPNルータを組み合わせた構成を検討することが推奨されます。
構成の検討について
ネットアシストでは、さくらのクラウドにおいて、共有セグメントを利用したシンプルな構成だけでなく、ルータ+スイッチを利用した構成や、VPNルータを活用したスタティックNAT構成などの提供実績があります。
さくらのクラウドでサーバーを構築する際は、コストを抑えたシンプルな構成にするか、セキュリティを重視したネットワーク構成にするかを、要件に応じて検討することが重要です。
構成例やセキュリティ設計でお悩みの場合は、ぜひネットアシストまでご相談ください。
最後までお読みいただき、ありがとうございました!
