APISIXはどのようにDMZと内部ネットワークのギャップを埋めるのか?

January 28, 2024

Technology

DMZ(Demilitarized Zone)は、内部ネットワークと外部ネットワーク(一般的にはインターネット)の間に戦略的に配置されたセキュアなネットワークゾーンです。これは、完全に信頼されていないサービスやリソースをホストするための保護層として機能し、ネットワーク全体のセキュリティを強化します。その主な目的は、機密データやリソースを含む内部ネットワークと外部ネットワーク間の通信を分離することです。同時に、外部ネットワークとのやり取りが必要なサービスやアプリケーションを収容します。

DMZ内には、公開サーバー(例:Webサーバー、メールサーバー、DNSサーバー)やプロキシサーバーを配置できます。これらのサーバーは外部ネットワークと通信しますが、内部ネットワークリソースへの直接アクセスを必要としません。これらの公開サービスをDMZに配置することで、内部ネットワークへのリスクを効果的に低減できます。攻撃者がDMZを突破したとしても、内部ネットワークの機密データにアクセスするためにはさらなる障壁が存在します。

DMZと内部ネットワーク間の安全なアクセスを容易にするために、APISIXを使用してAPI呼び出しを簡単に管理できます。以下に、2つのアプリケーションシナリオ(製造業と金融業)を紹介します。

シナリオ1: 携帯電話メーカー

DMZ: 外部ネットワークに開放されている。

一般ゾーン: 外部ネットワークから完全に隔離されており、外部ネットワークにアクセスすることも、外部ネットワークからアクセスされることもない。

既存のゲートウェイシステムは、単なる南北トラフィックのゲートウェイではなく、南北および東西トラフィックの両方を統合しています。

トラフィックリクエストは主に以下の4つのシナリオで発生します:

  • クラシックな南北: 外部ネットワークのトラフィックがDMZゲートウェイを通過し、その後ローカルドメイン内の一般ゾーンゲートウェイにルーティングされ、最終的にバックエンドサービスに到達します。

  • ドメイン間転送: 外部ネットワークのトラフィックがDMZゲートウェイを通過し、バックエンドサービスがローカルドメイン外にあることを認識します。内部バックボーンネットワークを経由して、バックエンドのドメイン内の一般ゾーンゲートウェイに到達し、最終的にバックエンドサービスに到達します。

  • 東西: あるバックエンドアプリケーション(リージョンA)が別のアプリケーション(リージョンB)のインターフェースを呼び出す(ここではクロスドメイン呼び出しシナリオを示しています)。アプリケーション(リージョンA)の一般ゾーンゲートウェイを通過した後、アプリケーション(リージョンB)の一般ゾーンゲートウェイに転送され、対応するアプリケーションに到達します。

  • 外部ネットワークサービスの呼び出し: バックエンドサービスがサードパーティサービス(Taobao、JD、SF Expressなど)にアクセスする必要があります。ローカルの一般ゾーンゲートウェイを通過した後、リクエストはDMZゲートウェイに転送され、その後サードパーティサービスに送られます。

DMZ_1_ENG

シナリオ2: 金融会社

DMZ_2_ENG

生産外部ネットワークDMZ: 外部ネットワークに開放されている。

生産内部ネットワーク: 外部ネットワークから完全に隔離されており、すべてのトラフィックはゲートウェイを通過して管理されます。

顧客がAPISIXに求める主な目的は、以下の重要な側面に対応することです:

監視ニーズ: 規制基準に準拠するため、顧客は外部ネットワーク経由で内部サービスにアクセスする際に、すべてのマイクロサービス呼び出しを徹底的に記録および監査する能力を求めています。

堅牢なサービス管理: 各マイクロサービスモジュールに対して厳格な認証を確保し、トラフィックスロットリング対策を実施することが、顧客のサービス管理要件の重要な側面です。

ビジネス成長: 顧客は、ビジネス拡大における課題を解決し、特に異なるビジネスドメインやチーム間でのマイクロサービス間通信の必要性に対応することを目指しています。

包括的な管理: マイクロサービスの数が増えるにつれて、顧客は呼び出しチェーンの複雑さが増すことがビジネスの全体的な安定性に与える大きな影響に対処する必要性を認識しています。

将来の展望: アプリケーションのクラウド化変革を見据えて、顧客はサービスゲートウェイがアプリケーションのクラウド化プロセスを推進する上で重要な役割を果たすことを強調しています。

まとめ

まとめると、DMZはネットワークセキュリティにおいて重要な役割を果たし、内部ネットワークと外部ネットワークの間の障壁として機能します。その機能は、機密データやリソースを保護しながら、必要な外部とのやり取りを容易にすることです。現代のゲートウェイシステムとAPI管理ツールを活用することで、ネットワークトラフィックの効率的な管理とセキュリティが強化され、さまざまな業界のセキュリティおよび規制ニーズに対応できます。携帯電話メーカーであろうと金融機関であろうと、これらのテクノロジーを採用することで、ネットワークセキュリティと運用の安定性が確保され、将来の発展のニーズにも応えることができます。

API管理ソリューションについて詳しく知りたい場合は、API7.aiにお問い合わせください。

Tags:
APISIX Basics
DMZ