Asp.Net Core 5.0 (Blazor server) + SQLServer 2019 構成で実装した業務システムを、社内、自宅を問わず使用できるように、さくらインターネットVPSに CentOS 7.9 をインストールしデプロイしたシステムの、システムイメージを纏めたので参考にしてほしい。
主なポイント
・さくらインターネットVPSは、石狩データセンターで契約する。東京、大阪からアクセスしても遅延は感じない。https://datacenter.sakura.ad.jp/location/ishikari/
・SSH接続はRSAキーを持たないPCからの接続は拒否。ID/PW認証。
・OSインストール、緊急時のコマンド操作は(VNCコンソール)さくらインターネットのWEBサイトからVNCコンソールを起動し行う。
・Visual Studio 2019 で実装したWebサイトをファイル出力し、WinSCPからLinuxにアップロードする。
・管理業務に伴うSSHコマンド操作、SSHファイル転送、SSH接続は「限定した特殊ポート」から接続する。
・管理業務に伴うデータベース操作、データベースへの接続は「限定した特殊ポート」から接続する。
・一般ユーザはWEBブラウザからhttps接続で、WEBサイトを利用する。
・WEBサーバにはnginxを使う。
・SSL証明書はcertbotを使う。https://certbot.eff.org/
・さくらインターネットVPSのパケットフィルタリングで、「http、https、限定した特殊ポート」以外への接続は拒否する。ping接続も拒否する。
・さくらインターネットVPSのパケットフィルタリングだけではなく、CentOSファイアウォールでも「http、https、限定した特殊ポート」以外への接続は拒否する。尚且つ、特定IPアドレス以外からの「限定した特殊ポート」接続は拒否する。「限定した特殊ポート」を開くのは作業がある時のみで、普段は「http、https」のみ受け付ける。
・さくらインターネットVPSが無料で提供しているWeb Application Firewall(SiteGuard)で、WEBサイトへの攻撃を拒否する。
・WEBサーバ(nginx)は、クローラからの接続には収集しないよう通知する。
・SQLServerの全テーブルは、 SQLServerのテーブル圧縮機能で物理データサイズを10分の1にする。WEBサーバを通さずにデータが抜き取られるリスクに備えて、「ユーザID/ユーザパスワード/メールアドレス/ユーザ名」などの個人情報は暗号化する。
・SQLはストアドプロシージャだけに記述し、WEBアプリからの処理はストアドプロシージャを通し、WEBサイトからのSQLインジェクションを拒否する。
コメント