現在、AWS環境を新しく使用する会社のインフラ周りの面倒をみているのだけれども。
その会社はとあるAWSを専業としているシステムインテグレーターにAWSの構築を発注したらしい。 経緯は不明だけれども、出来上がったものは以下のようなものでした。
- AWS上にインターネット上に公開するサーバーを置く
- そのサーバーへの社内からのアクセスのためにDirect Connectを使用する
- AWS上に配置されたサーバーからは社内ネットワークへ無制限のアクセスができる
Direct Connectっていわゆる専用線接続で、お客さんのネットワークとAWS上を一体化させていろいろな通信をインターネットを使わなくても行えるようにするものだけど、そういったリスクを何も伝えずにDirect Connectを提案したうえで、セキュリティ設定を何もせずに、インターネットに公開するサーバーから社内への無制限アクセスをできるようにしてしまったとか。 昔からDMZという考え方はあって、当然のセキュリティ保持のための施策みたいなのはあるのだけど、今回の設定では抜け落ちているらしい。 AWSのプロフェッショナル集団です!なんでもご相談ください!みたいなことやってるけど、社内とつないでしまえば社内の方のセキュリティについても勘案しなければいけないし、もうちょっとどうにかできないの?という感じ。 AWSのインフラ取次もしててAWSに支払うお金の数%を手数料としてとるから、Direct Connect等無駄なものをどんどん入れた方が儲かるんだろうけど、結果お客さんの社内インフラまでまるごと危機にさらしていいんだろうか。 プロを名乗るならリスク等もきちんと説明してほしいと思うのですが。
