セキュリティグループは、ファイアウォールの役割を果たします。
セキュリティグループを設定することで、必要なアクセスを許可し不必要なアクセスを遮断することができるので、外部からのアクセスを必要最低限に絞ることが可能です。無料で利用ができる最も基本的なセキュリティサービスなので、必ず設定しておきましょう。
設定例
セキュリティグループの設定
WEBサーバーであれば、次のような設定を行います。
WEBサーバーは「 https://denet.ad.jp 」のような通信の受付と返却を行います。そのため次のような設定を行います。
・外部からの「HTTPS」の通信についてはアクセスを「許可」
・外部からの接続が不要な「HTTPS」以外の通信は「拒否」
・管理者のみ必要な「SSH」は、特定のIPアドレスのみ「許可」
DBサーバーなど内部のサーバーのみで利用する場合であれば、次のような設定を行います。
・ 外部からの通信はすべて「拒否」
・ アクセス元のWEBサーバーからのアクセスを「許可」
どこで動作しているのか?
セキュリティグループの設定場所
セキュリティグループは、Amazon EC2の手前に配置されています。そのため、遮断したい通信がEC2インスタンスまで来ることはありません。無用なアクセスの対応が不要になるため、負荷軽減とセキュリティレベルの向上が可能になります。
まとめ
セキュリティグループに適切な設定がされていないと、悪意を持った攻撃者からもアクセスができてしまいます。アクセスが可能ということは、パスワードの総当たり攻撃を受ける可能性や、脆弱性が発見されたときに攻撃を受ける可能性があるということです。
セキュリティ企業Shadowserverの調べでは、ポート番号3306/TCPでアクセス可能なMySQLサーバーが約360万台も存在しており、サイバー攻撃の対象となる可能性があることが判明しています。
https://www.shadowserver.org/news/over-3-6m-exposed-mysql-servers-on-ipv4-and-ipv6/
これらのリスクを抱えないためにも適切なセキュリティグループの設定を行いましょう。