特集1 アプリケーションプロトコル大図鑑HTTPをはじめSMTP、DNSなどが「見てわかる」TCP/IPがもたらすさまざまな「ネットワークサービス」は、どのように機能しているのだろうか? プロトコルを仕組みから学んでみよう。 Show 特集2 Ethernetのすべてを知ろう「進化する」ネットワーク規格の歴史と技術進化し続けるEthernetの歴史と技術を完全解説。高速化の理由、普及した背景、広域Ethernetの技術までをわかりやすく解説する。 特集3 間違いだらけのネットワーク構築聞きかじり知識の危うさを専門家がビシビシ指摘!にわか管理者が聞きかじりの知識で作ったネットワークには落とし穴がたくさん。ネットワークの専門家が問題点をビシビシ指摘する! 特別企画ADSLの徹底活用 Windowsで気軽に作るVPNブロードバンドルータからVPNサーバ、クライアントの設定まで、これさえ読めば誰でも手軽にVPNが構築できる! 有料、無料どっちを使う? 仕組みから読み解く ホットスポット解体新書どこで使えるの? 使い勝手は? セキュリティは大丈夫? 仕組みを知れば、そんな疑問もすっきり解決。 超入門ブロードバンドルータ今、一番旬なネットワーク機器のブロードバンドルータ。 基本機能から将来の展望まで、これさえ読めばすべてがわかる。 月刊 ASCII NETWORK MAGAZINE 8月号
TCP/IP上の通信では、すべてIPアドレスを用いて通信相手を指定する。しかし一方で、IPアドレスは単なる数字の羅列であり、人間には極めて覚えにくい。そのため、人間に覚えやすい形式でインターネット上のホスト名を指定する方法として、FQDN(Fully Qualified Domain Name)が使われている。 こんにちは。IT基盤部の片山です。 DeNAが提供するヘルスケア系サービスのインフラを担当しています。 今回は機密データを扱う機械学習環境の構築について紹介します。 はじめにあるプロジェクトにおいて、提供されるデータの機密性が非常に高く、十分なセキュリティを担保した環境を構築したいという相談を受けました。 要件は以下の通りです。
*1 セキュリティルームとは、プロジェクトメンバーのみが入室でき、外部との通信が制限されたネットワークのある部屋の事を指します 要件に対する対応案サーバ側はヘルスケア系サービスで実績がある構成で対応できそうでしたが、クライアント環境はどのようにして要件を担保するか色々と方法を検討しました。 そして要件を以下のように落とし込みました。
どの様に解決したか全体の構成図は以下のようになりました。 クライアント、サーバ環境それぞれ見ていきます。セキュリティルーム(クライアント環境)まず、セキュリティルームはスマートロックを導入し、プロジェクトのメンバーのみが解錠可能としました。 セキュリティルーム内のネットワークは、他のDeNAスタッフと分ける必要があるため専用のVLANを割り当て、別のIPレンジとなるようにしました。 VLANの割り当て方法は後述します。 また、端末の管理番号とMACアドレスを元にIPを固定化しており、ファイアウォールでソースIPと特定のポートのみを開放するアクセス制御を可能にしました。 専用端末(Windows,Mac共通)次に専用端末についてです。 端末はWindows、MacともにノートPCを利用するため、セキュリティルームから持ち出しが出来ないようワイヤーロックによる固定をしました。 管理者権限は端末を管理する別部門にて所有し、初期セットアップはしていただきます。 無線LANはADアカウントのステータスで無効化されるため、ネットワークの利用を有線LANに限定します。 他にもリムーバブルデバイスの利用は不可にしています。 端末へのログイン可能なアカウントについても専用のアカウントを発行します。 これはアカウントと所属VLANがADにて紐付けられているためです。 専用アカウントのログインにはAD認証と生体認証を併用しています。 これにより、専用アカウントは専用端末にのみログインできることを担保します。 専用アカウントに専用VLANが降ってくる仕組みはダイナミックVLANを使用しています。 アカウントに紐付いたクライアント証明書を用いて、802.1X認証によってVLANが決定します。 証跡を残す仕組みは2つの方法を導入しています。 専用端末は用途にあわせて3種類あります。
インフラ管理用端末(Mac)インフラ系の管理・運用を行うための端末で、Secure Zoneのサーバへアクセスできます。 ssh しか使わないためMacにしていますが、Windowsを使っても構いません。 データ受領用端末(Windows)暗号化されたデータをダウンロードし、サーバへ配置する役割に用います。 この端末のみインターネットへの接続を許可されています。 proxyが設定されており、アクセス可能なFQDNが決められています。 ダウンロードはブラウザを用いるため、証跡には ESS REC が必要となるので Windows 端末を利用します。 開発者用作業端末(Windows)その名の通り、開発者用の端末になります。 元々Macを使おうとしていましたが、Jupyter Notebookを利用する要件のため証跡が残せる Windowsとなりました。 これまでの情報をまとめると、専用部屋の専用の端末から、専用のアカウントを使い、専用のVLANを割り当て、機械学習環境へアクセスすることができます。 サーバ環境サーバはオンプレミスで構成しており、データセンターにあるため物理的にアクセスできるのは一部のインフラ担当者だけです。 サーバ側は用途にあわせて2つのZoneに分けています。 DMZDMZには外部ネットワークへアクセスが必要なサーバを配置します。 具体的にはSMTP,DNS,NTPといった運用上必要なサーバと、後述の Secure Zone から外部へ接続するためのproxyサーバを立ててます。 proxyサーバを経由する理由は、外部ネットワークへの通信ログを取得するのが目的です。 この環境へのアクセスはインフラ担当のみが可能なため、開発者が外部へのアクセスに手を加えることは出来ません。 Secure ZoneこのZoneにはプロジェクトで使用する機密データの保管と機械学習用のサーバを配置します。 Secure Zoneのサーバのrootアカウントは開発側で管理しており、インフラ担当は必要なコマンドだけ実行権限を与えられています。 これにより、インフラの担当者が機密データにアクセス出来ない様にしています。 From: Secure Zone 通信ネットワーク機器にてこのZoneからの通信はすべて不可にしているため、意図しない外部への通信は発生しません。 他のZoneとの通信はDMZにあるproxyサーバを経由して外部接続できます。 To: Secure Zone 通信sshはgateway経由でアクセスできますが、Jupyter Notebookを利用できるようにセキュリティルームからのhttpsは許可しています。 しかしポートは443のみ開放しているため、そのままでは1つしか起動できません。 そこでこのZoneにnginxをたて、 おわりに今回はバックアップ体制や冗長化、監視について触れていませんが、スタンダードな構成なため割愛しています。 またサーバはオンプレを利用していますが、クラウドサービスを利用した場合でも Security Group で対応できますので、参考になれば幸いです。 |