PCIDSS

最近のセキュリティ基準として、PCIDSSがある。
PCIDSSは、Payment Card Industry Data Security Standard のことで、国際的なペイメントブランド5社(American Express, Discover, Master Card, VISA, JCB)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。

このセキュリティ基準は、ネットワークシステム、データの保護、アクセス制御やポリシーの作成など多岐にわたり、概要は12個の項目にまとめられている。

これらの概要はさらにブレークダウンされ、200個程度の具体的な項目として提示されている。

PCIDSSの基準はセキュリティ要件として明確なので、クレジットカードに関わらない企業が、自社のセキュリティレベルを上げるため、PCIDSSを取得するケースも見受けられる。

PCISSC
https://ja.pcisecuritystandards.org/minisite/en/

posted by へっぽ at 00:24 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

IDS・IPSとは

セキュリティ対策として、ファイアウォールとは別に、IDSIPSを使用することがある。

IDSとはIntrusion Detection System略で、外部からの不正侵入を「検知」する機能を持つ。
IPSとはIntrusion Prevention Systemの略で、外部からの不正侵入を「検知」しさらに「遮断」する機能を持つ。

両方ともパケットを解析し、シグネチャと呼ばれる攻撃パターンと一致するかどうかを見ている。

IDSにはホスト型IDSネットワーク型IDSの2種類がある。
ホスト型IDSは、監視対象のサーバにインストールして、OSが記録するログ等を監視するもの。
ネットワーク型IDSは、ネットワーク上を流れるパケットを全て監視するので、監視対象サーバを特定しない。ただし対象のネットワークセグメントごとに配置する必要はある。

IDSで検知しても、実際の対応には時間がかかる。このため「疑わしきは通さず」を実装し、怪しければ遮断する機能を備えたのが、IPSである。

posted by へっぽ at 00:23 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

ゾーン転送

ゾーン転送とは、DNSサーバの設定を複製するために使われる手法である。

極めて重要なシステムであるDNSサーバは、冗長化されることが望ましい。とはいえ複数台のDNSサーバに同じ情報を手動設定することは煩雑であり、ミスも誘発しかねない。そのため、1台に設定したDNS情報を残りのサーバにも自動的に複製するために、ゾーン転送が用いられるのである。

コピーする元となるサーバをプライマリサーバあるいはマスタサーバ、コピー先となるサーバをセカンダリサーバまたはスレーブサーバという。

posted by へっぽ at 00:29 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

ロードバランサ - L4スイッチとL7スイッチ

ロードバランサにはL4スイッチL7スイッチとがある。
違いはというと、アクセスを振り分ける際のロジックの深さ(パケットをどこまで見るか)である。

LとはLayerのことで、L4とL7は、OSI参照モデルのトランスポート層とアプリケーション層を意味する。

L4スイッチはTCP/UDP情報(ポート番号)のみで振り分け先を決定する。
クライアントからSYNが飛んできたら、そのまま振り分け先のサーバへ転送する。

L7スイッチは、L4スイッチよりもう一歩踏み込んで、HTTPヘッダやCookie情報の参照まで行ってから、振り分け先を決定する。
振り分け先が決定するまでロードバランサがSYNとACKのやり取りを行うことになるので、L4よりも細かい振り分けロジック設定ができる半面、ロードバランサにかかる負荷が問題となることがある。

posted by へっぽ at 21:38 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

ポートVLANとタグVLAN

VLANの設定方法にはポートVLANタグVLANという二つのやり方がある。
それぞれの特徴は以下の通り。

ポートVLAN
1ポートに1VLANを割り振る方法。コンセプトが単純で管理がし易い。ただしある程度大きなネットワークでスイッチをまたがるような場合は、VLANを追加するたびに新しいポートが必要となり、構成が複雑となる。

タグVLAN
1ポートに複数のVLAN IDを結びつける方法。スイッチをまたがる構成や、仮想環境内でVLANを分けるときに威力を発揮する。
フレームの規格としてIEEE802.1Qを用い、フレーム内にVLAN IDを示す「タグ」を付与して送信する。スイッチはフレームを受け取ったらタグを見て、タグを外してから、そのタグが示すVLANに所属するポートに転送する。

タグVLANを使うときには、L2スイッチ同士を接続するポートや、仮想環境に接続するL2スイッチのポートに、タグVLANの設定を行う必要がある。

posted by へっぽ at 16:21 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

L2スイッチ スイッチングの動作

L2スイッチは、基本的にポートMACアドレスとをリンクさせたMACアドレステーブルを見ながら、フレームの振り分けを行っている。

例)
あるL2スイッチに、A、B、C、Dという4台のパソコンが接続されている。それぞれが接続されているポート番号は、1、2、3、4とする。
初期状態なので、L2スイッチのMACアドレステーブルには何も登録されていない。

@パソコンAが、パソコンBに向けてフレームを送信する。
AL2スイッチは、MACアドレステーブルにAの情報を登録する。

 <MACアドレス> <ポート番号>
 Aのマックアドレス 1

BL2スイッチはパソコンBのMACアドレスのポートを知らないので、接続されている全てのポートに、Aからのフレームを送信する(フラッディング)。
CパソコンCとDは、送られてきたフレームは自分宛てではないので破棄する。
 パソコンBは応答フレームをケーブルに送信する。
DL2スイッチはパソコンBから送られてきたフレームを見て、MACアドレステーブルにBの情報を登録する。

 <MACアドレス> <ポート番号>
 Aのマックアドレス 1
 Bのマックアドレス 2

E以後、パソコンAとパソコンBの通信は、L2スイッチのMACアドレステーブルによって行われる。

作られたMACアドレステーブルは、一定時間(デフォルトで300秒程度が多い?)経過するとリフレッシュされる。この「一定時間」のことをエイジングタイムという。

posted by へっぽ at 16:20 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

フェールオーバー、レプリケーション、バックアップ

フェールオーバーとは、冗長化のための技術。
プライマリのサーバに障害が発生した際、以後の処理をセカンダリのサーバに引き継ぐ。
処理を引き継ぐためには、データをプライマリからセカンダリにコピーし、セカンダリのデータ常に最新のものに保っておく必要がある。
このためにデータをリアルタイムにコピーする技術がレプリケーションである。

バックアップとレプリケーションはイコールではない。
バックアップは世代ごとのデータ保管をするためのもので、そもそもレプリケーションとは目的が異なる。
業務サーバに負荷をかけないよう、プライマリサーバのデータではなくて、レプリケーションされた後のセカンダリサーバのデータをバックアップするケースもある。

posted by へっぽ at 20:48 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

SAN, NAS, DAS

ストレージはDBやファイルサーバなど、企業にとって重要な情報を格納しておくために用いられる。
ストレージの構成を設計するときには、ストレージへのアクセスが業務に影響を及ぼさないか、後々サーバを追加するときに拡張性があるか、などを考慮しなければならない。

代表的な構成に、DASNASSANがある。

DAS(Direct Attached Storage)
サーバとストレージを1対1で接続した構成。構成は単純だが、ストレージを有効利用できないことや、サーバ増設時に面倒であること、障害が発生するとアクセスできなくなるといったデメリットがある。

NAS(Network Attached Storage)
LANを介してサーバからアクセスする方式。複数台のサーバでストレージを共有でき、導入も比較的容易。ただしストレージへのアクセスがネットワークに負荷をかけると、業務に影響を及ぼす危険性がある。

SAN(Storage Area Network)
ストレージ用の専用LANを構築し、サーバからはスイッチを経由してストレージへアクセスする。ストレージに専用ネットワークを構築できるため、冗長性を持たせることができ、高速にアクセス可能である。ただし知識・費用の面ではハードルが高い。

posted by へっぽ at 12:59 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

仮想環境の冗長化技術

仮想環境の冗長化技術には、大きく分けて、クラスタリング(およびそれによるフェイルオーバー)とライブマイグレーションがある。

フェイルオーバーは、物理サーバに障害が発生したときに、別の物理サーバに仮想環境を移して動作を継続するもの。

ライブマイグレーションは物理サーバのメンテナンスのためなどに、別の物理サーバに仮想環境を移して動作を継続するもの。

フェイルオーバーは計画外の停止、ライブマイグレーションは計画的な停止のために存在する。

例えばVMWareでは、フェイルオーバーの技術としてvSphere HAまたはvSphere FTが、ライブマイグレーションの技術としてvMotionがある。

vMotionとvSphere HA/vSphere FTの違い
http://blogs.vmware.com/jp-cim/2014/09/vsphere_kiso03.html

posted by へっぽ at 19:17 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

TCPとUDPの違い

どちらもOSI参照モデルのトランスポート層で使用するプロトコルである。

TCPは、信頼性は高いが、高負荷がかかり処理が遅い。
UDPは、信頼性は低いものの、負荷が小さく処理が速い。

TCPヘッダは20バイトあるのに対し、UDPヘッダは8バイトしかない。

TCPはファイル転送やメール送受信など、信頼性が必要なアプリケーションで使用する。コネクションを確立し、相互に状態を確認しつつ、やり取りしながら通信を進める。

UDPは即時性を求めるアプリケーションで使用する。動画配信や名前解決、DHCPなど。クライアント側はパケットを作って送るだけである。サーバ側は受け取ったデータが破損していないかをチェックし、OKならデータを受け入れる。

posted by へっぽ at 16:44 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

パケットとフレームの違い

パケットとは、ネットワーク層で受け取るデータのことをいう。

パケットに、プリアンブル、あて先MACアドレス、送信元MACアドレスなどを付加したものが、イーサネットフレームとなり、これがデータリンク層で取り扱われる、いわゆるフレームである。

フレームに組み込まれているMACアドレスは、同じネットワーク内でのみ有効な物理アドレスである。

従ってフレームのMACアドレスは、ネットワークをまたがると(ルータを経由すると)、その都度付け替えられる。
あるルータを経由すると、それまで送信先だったMACアドレスが、送信元としてセットされるのだ。

そのとき、送信先となるMACアドレスを判断するために使われるのが、ARPというプロトコルである。

posted by へっぽ at 20:31 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする

L2スイッチとL3スイッチ

ネットワーク環境の動きを知るには、L2スイッチL3スイッチがキーになる。

L2スイッチ
OSI参照モデルにおけるデータリンク層に対応。MACアドレスをもとに、送られてきたフレームの転送先を決めている。
また、ブロードキャストドメインが届く範囲を効率的に絞り込むために、VLANの機能も用意されている。

L3スイッチ
OSI参照モデルにおけるトランスポート層に対応。L2スイッチがMACアドレスをもとにフレームの転送先を決めているのに対し、L3スイッチはIPアドレスをもとにパケットの転送先を決めている。
L3スイッチは、異なるネットワーク間の橋渡しをするルーティング機能も備えている。

posted by へっぽ at 13:30 | TrackBack(0) | インフラ | このブログの読者になる | 更新情報をチェックする