2022年6月 – Platinum Web Engineering

2022年5月25日に以下の条件でインストールしたサイトを脆弱性診断する。

・環境：　AWS東京リージョン

・OS:　AlmaLinux8.6　（AMIからインスタンス作成）

・Webサーバ：　Apache httpd 2.4.37(AlmaLinux)

・PHP:　php-fpm 7.4.19

・アプリ：　Wordpress 6.0

動作確認後にプレ診断実施した結果、以下の脆弱性候補が検出された。

１．The web server has the following HTTP methods enabled: TRACE

CVSS:　5.8(Midium)

Apacheではデフォルトで「HTTP TRACEメソッド」有効なことによる。

２．The remote SSH server supports the following weak KEX algorithm(s):

diffie-hellman-group-exchange-sha1 | Using SHA-1

CVSS:　5.3(Midium)

アルゴリズムの危殆化のため無効となったことによる。

３．The remote SSH server supports the following weak client-to-server encryption algorithm(s):

aes128-cbc／aes256-cbc

CVSS:　4.3(Midium)

アルゴリズムの危殆化のため無効となったことによる。

４．It was detected that the host implements RFC1323/RFC7323.

CVSS:　2.6(Low)

TCPタイムスタンプ自体はデフォルトでON。環境によって無効化が推奨される。

最新のリリースで構成していても、サービス構築後には脆弱性診断の実施が有効である例となっている。

オンプレミスのWebサイトでは、FWでDMZと高機密エリアを構成し、それぞれを物理サーバで冗長化して構成する（下図）。

DMZにはリバースプロキシが置かれており、DMZから高気密エリアへのアクセスはリバースプロキシ経由のWebポートだけを許可する設定とする。

これによりDMZに侵入された場合でも、高気密エリアのデータベースや他のサービスは保護される。

AWSの仮想プライベートクラウド（VPC）を利用することで、同様のシステムモデルが実現できる（冒頭の図）。

VPCでは、パブリックとプライベートの両サブネットをゾーンに分離・複製し、それぞれのセキュリティグループの設定で、オンプレミスサイトの機密構成を実現する。

AWSのロードバランサはプロキシ機能を有しており、NAT（本図では省略）と合わせて冗長化構成を実現する。

プライベートサブネットのサーバの構築・運用のためのアクセスは踏み台サーバを構築して利用する。

これは常時は停止しておいて、セキュリティ上の問題を減ずる。

VPCを利用することで、オンプレミスからのクラウド移行が容易になり、スケールアップ、スケールアウト、ディザスタリカバリ、等のメリットを享受することができる。

データベースはRDSを利用することで運用管理負担が軽減できる。

AWSには月3万円前後の費用が見込まれる。

月: 2022年6月