TCP/IPモデルのレイヤー別のセキュリティ対策

f:id:ryoutaku_jo:20190608105511p:plain

【結論】

・インターネットの通信は、いくつかの通信プロトコルからなっており、それらの階層構造を表した代表的なものに「TCP/IP」がある

・「TCP/IP」は、アプリケーション層・トランスポート層・インターネット層・ネットワークインターフェース層に階層分けされている

・セキュリティ対策においても、それぞれに層に対して対策を講じる必要がある

【目次】

【本題】

TCP/IPモデルについて

ネットワークはLANケーブルや中を通るデータ、行き先を仕分けるプロトコルといった様々な仕組みが合わさって、目的地までデータを送ることができます。

これらの仕組みをOSIでは7層、TCP/IPモデルでは4層にレイヤー分けしています。

f:id:ryoutaku_jo:20190608105649g:plain

※画像引用元 TCP/IPをはじめから

Webサービスのセキュリティ対策は、これらの層ごとに対策を講じる必要があります。

今回は、それぞれの層における代表的なセキュリテイ対策をまとめます。

ネットワークインターフェース層の対策

ネットワークインターフェース層は、TCP/IPモデルをECサイトに例えると、商品を運搬する為の道路やトラックなどのようなものです。

サーバーを、物理的に外部の影響に晒されないようにする対策が取られます。

クラウドサービスのAWSでは以下の対策を行っています。

・データセンタ所在地の秘匿

・徹底した入退室管理

・監視カメラや侵入検知システム

・アクセスの記録・監査

トランスポート層/インターネット層の対策

トランスポート層/インターネット層は、TCP/IPモデルをECサイトに例えると、商品の宛名ラベルや梱包材などのようなものです。

偽造された宛名を検知して不正なアクセスを遮断する対策などが取られます。

代表的な対策は下記のようなものです。

ファイヤーウォール(セキュリティグループ/ネットワークACL)

接続元IPアドレス、接続先IPアドレス、通信ポートで通信の制御を行っています。

・IDS/IPS

IDS:Intrusion Detection System(侵入検知システム)、IPS:Intrusion Prevention System(侵入防止システム)

ファイヤーウォールで通過したデータの内容を確認し、不正が無いかを確認。IDSではそれを検知、IPSでは防御します。

アプリケーション層の対策

アプリケーション層は、TCP/IPモデルをECサイトに例えると、商品そのものを表します。

ネットワーク上では判断できなかった攻撃を検知する対策が取られます。

代表的なものは下記です。

・WAF

ネットワーク上では判断できなかったアプリケーション層の内容を解析し、脆弱性を突くような内容のデータをブロックします。

参考情報

TCP/IPをはじめから

《今日の学習進捗(3年以内に10000時間に向けて)》

サービスローンチ直前で、ここ数日は深夜まで作業続き・・・ブログ更新が結構キツい・・・

学習開始からの期間 :182日
今日までの合計時間:1763h
一日あたりの平均学習時間:9.7h
今日までに到達すべき目標時間:1662h
目標との解離:101h
「10,000時間」まで、

残り・・・「8237時間!」