Windows Azure Pack: Web サイトのセキュリティの強化
適用対象: Azure Pack Windows
インストール後に、追加のベスト プラクティスを実践することでセキュリティを強化できます。 これには、IP フィルタリング ("ブラックリストへの登録" とも呼ばれる)、DoS 攻撃に対抗するためのクォータの設定、その他の手順が含まれます。
IP フィルター処理を構成する
サービス拒否 (DoS) 攻撃を開始する最も簡単な方法の 1 つは、サービス自体の内部から攻撃を開始することであるため、IP フィルタリングの設定は重要です。 したがって、ホスティング サービス プロバイダーは、少なくとも Web ファームからその Web ファーム自体へのアクセスをブラックリストに登録する必要があります。
たとえば Web ファームがサブネットにデプロイされている場合、サブネット IP アドレスをフィルター処理して、Web サイトがファームにコールバックして DoS 攻撃などを開始できないようにする必要があります。
テナント ワーカー プロセスが、Web サイト クラウド内のサーバーに対応する IP アドレス範囲にアクセスすることを制限するには、Windows Azure Pack 管理ポータルまたは PowerShell を使用して IP フィルタリングを構成できます。
管理ポータルで IP フィルタリングを構成するには
管理者用の管理ポータルで IP フィルタリングを構成するには、次の手順を実行します。
ポータルの左側のウィンドウで、[Web サイト クラウド] を選択します。
構成する Web サイト クラウドを選択します。
[ブロック一覧] を選択します。
ポータルの下部にあるコマンド バーで、[追加] をクリックします。
[IP アドレス範囲の入力] ダイアログの [開始アドレス] ボックスと [終了アドレス] ボックスに IP アドレスを入力して、範囲を作成します。
操作を完了するには、チェック マークをクリックします。
PowerShell で IP フィルタリングを構成するには
PowerShell を使用して IP フィルタリングを構成するには、コントローラーで次の PowerShell コマンドレットを実行します。 start-of-ip-blacklist-range> と end-of-ip-blacklist-range を有効な IP アドレスに置き換えます<。><
Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>
Dynamic WAS Service の再起動
最後に、Web ワーカー ロールを実行するように構成したサーバーで Dynamic WAS Service (DWASSVC) を再起動します。 管理者特権のコマンド プロンプトで、次のコマンドを実行します。
net stop dwassvc
net start dwassvc
クォータの設定
サービス拒否 (DoS) 攻撃を防ぐには、CPU、メモリ、帯域幅、およびディスクの使用のクォータを設定する必要があります。 これらのクォータは、プラン作成の一環として、管理者用の管理ポータルで構成できます。
プランにこれらのクォータが設定されており、プランに属する Web サイトで DoS 攻撃や予期しない CPU スパイクが発生した場合、クォータに到達した時点で Web サイトは停止するため、攻撃も停止します。
このようなクォータは、ファーム内からの攻撃に対しても役立ちます。 たとえば、ファーム内からパスワードの総当り攻撃が行われる場合、大量の CPU 時間が消費されるため、強力なパスワードが使用されているときにはパスワードが解読される前に CPU クォータに到達します。
各 Web サイト ロールに個別の資格情報を割り当てる
インストール後のセキュリティのベスト プラクティスとして、Web サーバー ロールの資格情報がすべて一意になるように編集する必要があります。 新しい一意のアカウントを作成した後、管理者用の管理ポータルで、新しいアカウントを使用するように資格情報を更新できます。
Web サイトのサーバー ロールの資格情報を編集するには
管理者用の管理ポータルで、[Web サイト クラウド] をクリックし、構成するクラウドを選択します。
[資格情報] をクリックします。 [ユーザー名] で、ユーザー名が Web サイトのロールで一意であるかどうかを確認できます (たとえば、すべてが "Administrator" である場合は変更する必要があります)。
いずれかの資格情報名 ( 管理サーバー資格情報など) を選択し、ポータルの下部にあるコマンド バーの [編集 ] をクリックします。
表示されたダイアログ ボックス (たとえば [管理サーバー資格情報の更新]) で、新しいユーザー名とパスワードを指定します。
操作を完了するには、チェックマークをクリックします。
すべての資格情報のセットが一意になるまで手順 3. ~ 5. を繰り返します。
定期的な資格情報の変更 ("ロール")
セキュリティのベスト プラクティスとして、定期的に資格情報を変更 (つまり "ロール") することもお勧めします。 ロール サービスの場合、パスワードだけではなく、ユーザー名とパスワードを同時に変更してください。 ユーザー名とパスワードの両方を変更することによって、パスワードのみを変更した場合に、変更が環境全体に伝達されなかった場合に発生する可能性がある "非同期" の問題を回避できます。
ユーザー名とパスワードの両方を変更した場合、ロールオーバー プロセスの実行時に、一時的に両方の資格情報のセットが利用可能になります。 たとえば、認証が必要な 2 つのシステムが切断されている場合、変更後も接続することができます。 新しい資格情報がすべてのシステムで設定され、完全に機能するようになったら、以前の資格情報のセットを無効にすることができます。
.NET アプリケーションの限定的な信頼プロファイルの定義
.NET アプリケーションについては、限定的な信頼プロファイルを定義する必要があります。 既定では、Microsoft Azure Pack: Web サイトは完全信頼モードで実行され、最も広いアプリケーションの互換性を提供します。 最適な信頼レベルを選択すると、セキュリティと互換性のトレードオフを調整できます。 使用シナリオはそれぞれ異なるため、使用している環境のマルチテナント Web サーバーをセキュリティで保護するために、独自のベスト プラクティスを確認し、そのベスト プラクティスに従ってください。
その他のベスト プラクティス
その他のベスト プラクティスには、ユーザー アカウントの作成時には最小限の特権の原則を使用する、ネットワークに接する領域を最小限に抑える、ファイル システムやレジストリを保護するようにシステム ACL を変更するなどがあります。
ユーザー アカウントを作成する際に最小限の特権の原則を使用する
ユーザー アカウントを作成するときに、最小限の特権の原則を適用します。 最小限の特権の原則については、「 Windows で最小限の特権の原則をユーザー アカウントに適用する」を参照してください。
ネットワークに接する領域を最小限に抑える
インターネットに直接つながっているサーバーのネットワークに接する領域を最小限に抑えるようにファイアウォールを構成します。 セキュリティが強化された Windows ファイアウォールについては、次のリソースを参照してください (Windows Server 2008 R2 向けのリファレンスは、Windows Server 2012 および Windows Server 2012 R2 でも役立ちます)。
Windows Server 2008 R2 ステップ バイ ステップ ガイド: Windows ファイアウォールと IPsec ポリシーの配置 (Microsoft ドキュメントのダウンロード リンク)
Windows Server 2008 R2 ファイアウォールのセキュリティ (WindowsITPro)
Windows Server 2012 のセキュリティが強化された Windows ファイアウォールのトラブルシューティング (TechNet)
ファイル システムやレジストリをセキュリティで保護するようにシステム ACL を変更する
ダウンロード可能な次のユーティリティを使用して、サーバーのファイル システムとレジストリのセキュリティ設定を評価できます。