インストールおよびアップグレードガイド > AWS Marketplace用のTDV > TDV Serverの構成 > TDVセキュリティグループ
 
TDVセキュリティグループ
このセクションでは、TDVセキュリティグループを確認して追加の変更を加える方法について説明します。
セキュリティグループの確認(インバウンド/アウトバウンドトラフィック用のTDVポート)
1.AWSコンソールにログインします。
2.左側の垂直メニューに表示されている[EC2 Dashboard(EC2ダッシュボード)]をクリックします。
3.EC2ダッシュボードの[Resources(リソース)]領域の下にある[Security groups(セキュリティグループ)]リンクをクリックします。
4.TDVセキュリティグループのチェックボックスをオンにします。
5.ページの下部に、セキュリティグループの概要が表示されます。
6.[Inbound rules(インバウンドルール)]タブまたは[Outbound rules(アウトバウンドルール)]タブをクリックして特定のルールセットを表示します。
7.ルールセットを変更した後、[Save(保存)]をクリックします。
:
a. Windowsインスタンスでは、インバウンドポートを変更するためにOSレベルのファイアウォールの変更が必要になります。詳細については、「追加のファイアウォールの変更」を参照してください。
b. デフォルトでは、すべてのアウトバウンドトラフィックが許可されます。制限はありません。
c. LinuxのTDVセキュリティグループでは、Windowsよりも多くのインバウンドポートが開いています。これは、MPPエンジン機能がLinux TDV Serverのインストールでのみ使用できるためです。
追加のポート構成
TDVインスタンスに追加のインバウンドポートまたはアウトバウンドポート(データソースなど)が必要な場合は、TDVセキュリティグループを変更する必要があります。
これを行うための手順については、「セキュリティグループの確認(インバウンド/アウトバウンドトラフィック用のTDVポート)」のセクションを参照してください。
TDV AWSインスタンスでアクセスするAWSインスタンスに存在しないデータソースの場合、次のようにネットワーク接続を確認することをお勧めします。
1.データソースのIPとポートがAWSネットワークからの接続に対して開いていることを確認します。
2.次のコマンドを使用して、TDV AWSインスタンスからの接続をテストします。
openssl s_client -connect <DATA_SOURCE_IP>:<DATA_SOURCE_PORT>
追加のTDVセキュリティ構成
このセクションでは、TDV Serverに安全なクライアント接続のみを提供する必要がある場合に実行できる追加のセキュリティ構成について説明します。
TDVポートの定義を確認するには、「ポート要件」を参照してください。
保護されていないポートの無効化
HTTPポート(つまり、Webサービスポート)を無効にするには、次の手順に従います。
1.TDV Studioを使用してTDV Serverに接続します。「admin」ユーザーとしてログインします。
2.[Administration(管理)]> [Configuration(構成)]を選択します。
3.検索ウィンドウで、[Disable HTTP(HTTPを無効にする)]オプションを検索します。
4.[Disable HTTP (On Server Restart)(HTTPを無効にする(Serverの再起動時))]をクリックします。
5.[True]を選択します。
6. [OK]をクリックします。
7.TDV Serverを再起動します。
8.Amazon環境の外部から、ネットワークポートのチェックを実行して、セキュアポートのみが開いていることを確認します。
例:
- openssl s_client -connect <PUBLIC_IP>:9400 #は閉じている必要があります
- openssl s_client -connect <PUBLIC_IP>:9402 #は開いている必要があります
- TDV Studio test -> TDV Serverにポート9400を使用して接続し、[Encrypt(暗号化)]チェックボックスをオンにします。これにより、ポート9402を介したTDV Serverへの安全な接続が可能になります。[Encrypt(暗号化)]チェックボックスを有効にせずに接続すること(つまり、ポート9400)は許可されなくなりました。
9.TDVセキュリティグループを変更して、ポート9400を削除します。
クラスターポートを無効にするには、次の手順に従います。
1.TDVクラスターに含まれていないスタンドアロンのTDVを使用している場合は、セキュリティグループからポート9407を削除できます。
2.TDVセキュリティグループを変更して、ポート9407を削除します。
: Windowsプラットフォームを使用している場合、セキュリティグループポートを変更するには、ファイアウォール設定の追加のOS構成が必要です。詳細については、「追加のファイアウォールの変更」を参照してください。
追加のインバウンドポートセキュリティ
TDVセキュリティグループをさらに保護するには、既知のIPのみに一致するようにソースIPを変更します。
これにより、特定のIPのみがTDVインスタンスにアクセスできるようになります。
そのタイプの変更を行うためにセキュリティグループにアクセスする方法については、「セキュリティグループの確認(インバウンド/アウトバウンドトラフィック用のTDVポート)」を参照してください。
追加のファイアウォールの変更
このセクションは、DVインスタンスをすでに起動した後でポートを変更する必要がある場合に使用します。セキュリティグループで適切なポートの変更を行った後、以下に示す手順に従ってそれらの変更をアクティブにします。
: 以下の手順を実行する前に、クラウドコンソールでそれぞれのセキュリティグループを確認します。セキュリティグループのインバウンドポートは、基盤となるOSファイアウォールのインバウンドポートルールと常に一致する(つまり、1対1のマッピング)必要があります。
Windows Server 2019
インスタンスへのリモートデスクトップ接続を開き、以下の手順に従います。
1.[Control Panel(コントロールパネル)]を起動します。
2.[System and Security(システムとセキュリティ)]を選択します。
3.[Windows Defender Firewall(Windows Defenderファイアウォール)]を選択します。
4.左側の垂直メニュー領域にある[Advanced settings(詳細設定)]リンクをクリックします。
5.左側の垂直メニュー領域で[Inbound Rules(インバウンドルール)]を選択します。
6.[Name(名前)]列で[TDV Ports(TDVポート)]を選択し、ダブルクリックします。
7.[Protocols and Ports(プロトコルとポート)]タブをクリックします。
8.それに応じて[Local Port(ローカルポート)]領域を変更します。
9.[OK]ボタンをクリックして変更を保存します。