運用環境
OS:Linux、Windows Server. AWS、Microsoft Azure等での幅広い運用環境に対応可能です。 必要リソース:Apache or IIS、Laravel、My SQL、PHPハードウエア構成仕様例
VPCルータ
グローバル・プライベート間でのポートフォワーディングを行います(プロトコルは全てTCPです)。サーバの仕様例
組合サーバ
Web・データベース・メール送信のサービスを提供します。主な仕様例は下記の通りです。| 仮想コア | 3コア |
|---|---|
| メモリ | 4GB |
| ディスク | 250GB |
| OS | CentOS7 |
| Web | Apache2.4 |
| Webアプリケーション | PHP7 Laravel 5.4 |
| データベース | mariad5.5 |
| メール送信 | Postfix2.10 |
監視サーバ(必要に応じてのオプション)
組合サーバのリソース・サービス稼働状況を監視します。また、組合サーバのWebサイトに関するファイルおよびデータベースのダンプデータを保存します。主なスペック例は下記の通りです。| 仮想コア | 1コア |
|---|---|
| メモリ | 1GB |
| ディスク | 100GB |
| OS | CentOS7 |
| 監視 | Zabbix 2.4 |
セキュリティー
ファイヤーウォール
VPCルータでは下記のみ許可し、それ以外は拒否します(プロトコルは全てTCPです)。| 送信元IPアドレス | 宛先ポート | |
|---|---|---|
| 1 | システム管理者 | 組合サーバのポート## |
| 2 | 全て | 組合サーバのポート## |
| 3 | 全て | 組合サーバのポート### |
| 4 | システム管理者(オプション時) | 監視サーバの## |
| 5 | システム管理者(オプション時) | 監視サーバの### |
| 送信元IPアドレス | 宛先ポート | |
|---|---|---|
| 1 | システム管理者 | ## |
| 2 | 全て | ## |
| 3 | 全て | ### |
| 4 | 監視サーバ | ### |
組合サーバの監視(必要に応じてのオプション)
統合監視ソフトZabbixを監視サーバにインストールし、組合サーバのリソース・サービスを監視して、リソースやサービス停止時間が閾値を超えるとシステム管理者にメールで通知します。ファイル変更の自動検知
組合サーバのWebサイトに関するファイルの生成・変更・削除をリアルタイムで検知してシステム管理者にメールで通知するサービスを設置します。セキュリティー関連パッケージの自動アップデート
セキュリティ関連の修正が行われたパッケージは毎日定時に自動でアップデートして、システム管理者にメールで通知します。ログ解析レポート
下記サービス等のログを毎日定時に集計して、そのレポートをシステム管理者にメールで通知します。- apache
- sshd
- postfix
- パッケージアップデート
- ディスクスペース
サービスの設定仕様
【sshd】
- rootでのログインを無効にします。
- 鍵認証よるログインのみを有効にします。
- ログインするとシステム管理者にメールで通知します。
【apache】
- サーバ応答ヘッダーに含める情報を制御します。
- サーバ署名を非表示にします。
- TRACEメソッドを無効にします。
- 全てのHTTPアクセスをSSLにリダイレクトします(常時SSL)。
- SSL 3.0を無効化します。
【mariadb】
- 監査ログを監視サーバに保存します。
Webアプリケーションのフレームワークと各種脆弱性対応
WebアプリケーションフレームワークLaravelを導入することで下記の代表的な脆弱性に対応します。【SQLインジェクション対策】
Laravelで提供されているORMを用いることでSQLを直接記述することを極力回避します。SQLを記述せざるを得ない箇所にはプレースホルダを使用します。【CSRF対策】
POSTメソッドによるリクエストは、Laravelで提供されているCSRFトークン(ランダム文字列)を強制的に確認することで対応します。【クロスサイトスクリプティング対策】
画面出力は、Laravelで提供されているbladeテンプレートエンジンを使用して、出力を極力エスケープします。エスケープしない出力については、その理由を明確に検証します。