運用環境
OS:Linux、Windows Server.
AWS、Microsoft Azure等での幅広い運用環境に対応可能です。
必要リソース:Apache or IIS、Laravel、My SQL、PHP
ハードウエア構成仕様例
VPCルータ
グローバル・プライベート間でのポートフォワーディングを行います(プロトコルは全てTCPです)。
サーバの仕様例
組合サーバ
Web・データベース・メール送信のサービスを提供します。主な仕様例は下記の通りです。
| 仮想コア |
3コア |
| メモリ |
4GB |
| ディスク |
250GB |
| OS |
CentOS7 |
| Web |
Apache2.4 |
| Webアプリケーション |
PHP7
Laravel 5.4 |
| データベース |
mariad5.5 |
| メール送信 |
Postfix2.10 |
※各バージョンはリリース日により変更される場合があります。
監視サーバ(必要に応じてのオプション)
組合サーバのリソース・サービス稼働状況を監視します。また、組合サーバのWebサイトに関するファイルおよびデータベースのダンプデータを保存します。主なスペック例は下記の通りです。
| 仮想コア |
1コア |
| メモリ |
1GB |
| ディスク |
100GB |
| OS |
CentOS7 |
| 監視 |
Zabbix 2.4 |
※各バージョンはリリース日により変更される場合があります。
セキュリティー
ファイヤーウォール
VPCルータでは下記のみ許可し、それ以外は拒否します(プロトコルは全てTCPです)。
|
送信元IPアドレス |
宛先ポート |
| 1 |
システム管理者 |
組合サーバのポート## |
| 2 |
全て |
組合サーバのポート## |
| 3 |
全て |
組合サーバのポート### |
| 4 |
システム管理者(オプション時) |
監視サーバの## |
| 5 |
システム管理者(オプション時) |
監視サーバの### |
組合サーバでは下記のみ許可し、それ以外は拒否します(プロトコルは全てTCPです)。
|
送信元IPアドレス |
宛先ポート |
| 1 |
システム管理者 |
## |
| 2 |
全て |
## |
| 3 |
全て |
### |
| 4 |
監視サーバ |
### |
組合サーバの監視(必要に応じてのオプション)
統合監視ソフトZabbixを監視サーバにインストールし、組合サーバのリソース・サービスを監視して、リソースやサービス停止時間が閾値を超えるとシステム管理者にメールで通知します。
ファイル変更の自動検知
組合サーバのWebサイトに関するファイルの生成・変更・削除をリアルタイムで検知してシステム管理者にメールで通知するサービスを設置します。
セキュリティー関連パッケージの自動アップデート
セキュリティ関連の修正が行われたパッケージは毎日定時に自動でアップデートして、システム管理者にメールで通知します。
ログ解析レポート
下記サービス等のログを毎日定時に集計して、そのレポートをシステム管理者にメールで通知します。
- apache
- sshd
- postfix
- パッケージアップデート
- ディスクスペース
サービスの設定仕様
【sshd】
- rootでのログインを無効にします。
- 鍵認証よるログインのみを有効にします。
- ログインするとシステム管理者にメールで通知します。
【apache】
- サーバ応答ヘッダーに含める情報を制御します。
- サーバ署名を非表示にします。
- TRACEメソッドを無効にします。
- 全てのHTTPアクセスをSSLにリダイレクトします(常時SSL)。
- SSL 3.0を無効化します。
【mariadb】
Webアプリケーションのフレームワークと各種脆弱性対応
WebアプリケーションフレームワークLaravelを導入することで下記の代表的な脆弱性に対応します。
【SQLインジェクション対策】
Laravelで提供されているORMを用いることでSQLを直接記述することを極力回避します。SQLを記述せざるを得ない箇所にはプレースホルダを使用します。
【CSRF対策】
POSTメソッドによるリクエストは、Laravelで提供されているCSRFトークン(ランダム文字列)を強制的に確認することで対応します。
【クロスサイトスクリプティング対策】
画面出力は、Laravelで提供されているbladeテンプレートエンジンを使用して、出力を極力エスケープします。エスケープしない出力については、その理由を明確に検証します。
