- 締切済み
接続IPアドレスを制限した場合もDMZは必要?
Amazon EC2 で、サーバをひとつ立てて、社内業務用に使う計画です。 VPC(バーチャルプライベートクラウド)を設けることも考えたのですが、当面、サーバひとつで、社内の他のシステムとのインターフェースも不要なので、出来るだけ簡便に出来ないかと考えています。 そこで、EC2のファイヤウォールであるセキュリティグループを用いてインバウンド通信での送信元IPアドレスを当社ネットワークのグローバルIPアドレスに制限すれば、EC2サーバをひとつだけ置いて、そこに Apache と Tomcat と MySQL を配備し、DMZも設けないという簡単な構成でも構わないのではないかと考えました。 以上のような構成は、セキュリティ上、問題があるでしょうか。あるようでしたら具体的に教えて下さい。書籍やインターネット上の資料も読みましたが、みな、「公開サーバ」を前提に、DMZを設けることを当然のように解説しているので、上記のように、送信元IPアドレスを組織内に限定した場合にも、同じ構成にしないとリスクがあるのかないのか、今一つよくわかりません。 よろしくお願いします。
- petopetopettan
- お礼率100% (1/1)
- ネットワーク
- 回答数1
- ありがとう数14
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- poyopoyo111
- ベストアンサー率46% (129/280)
回答No.1
接続先を限定するとセキュリティは非常に高まります。ただし、DDoS攻撃やIPアドレス詐称へは対応することができません。 ただし、こうしたことをあまり考慮する必要のない強固なセキュリティを必要としない社内システムであれば特段問題はないと思われます。
お礼
ありがとうございます。そうですね。ご指摘のようにIPアドレス詐称はあり得ると思います。その点ではVPCの方が安全なのですね。一方、DDoS攻撃については、社内ネットワーク上のPCしか踏み台として使えないので、攻撃じたい著しく困難になるのではないかと考えています。もちろん、一般論として(Distributed でない)DoS攻撃は可能と思いますが。このあたりも誤認があればご指摘お願いします。