オンプレミスのWebサイトでは、FWでDMZと高機密エリアを構成し、それぞれを物理サーバで冗長化して構成する(下図)。
DMZにはリバースプロキシが置かれており、DMZから高気密エリアへのアクセスはリバースプロキシ経由のWebポートだけを許可する設定とする。
これによりDMZに侵入された場合でも、高気密エリアのデータベースや他のサービスは保護される。
AWSの仮想プライベートクラウド(VPC)を利用することで、同様のシステムモデルが実現できる(冒頭の図)。
VPCでは、パブリックとプライベートの両サブネットをゾーンに分離・複製し、それぞれのセキュリティグループの設定で、オンプレミスサイトの機密構成を実現する。
AWSのロードバランサはプロキシ機能を有しており、NAT(本図では省略)と合わせて冗長化構成を実現する。
プライベートサブネットのサーバの構築・運用のためのアクセスは踏み台サーバを構築して利用する。
これは常時は停止しておいて、セキュリティ上の問題を減ずる。
VPCを利用することで、オンプレミスからのクラウド移行が容易になり、スケールアップ、スケールアウト、ディザスタリカバリ、等のメリットを享受することができる。
データベースはRDSを利用することで運用管理負担が軽減できる。
AWSには月3万円前後の費用が見込まれる。
コメントを残す