AWS 内の Bitbucket を保護する

このページでは、AWS で Bitbucket を実行および保守する際のセキュリティ ベスト プラクティスについて説明します。

Amazon Virtual Private Cloud (VPC) およびサブネット

Amazon VPC を使用すると、定義した仮想ネットワークで AWS リソースを起動できます。この仮想ネットワークは独自のデータ センターを運用していた従来のネットワークに非常によく似ていますが、AWS の拡張可能なインフラストラクチャのメリットを備えています。詳細は、「Amazon EC2 および Amazon Virtual Private Cloud」を参照してください。

サブネットは、VPC 内の IP アドレス範囲です。AWS リソースを選択したサブネットで起動できます。インターネット接続が必要なリソースにはパブリック サブネットを、インターネットに接続されないリソースにはプライベート サブネットを使用します。

VPC およびサブネットの全般的な概要については、Amazon の記事「VPC とサブネット」を参照してください。

VPC のセキュリティを強化するため、次の 1 つ以上を有効化できます。

  • 不正なネットワーク アクティビティから保護するために、ファイアウォール仮想アプライアンス/AMI で VPC を保護する
  • サイト間 VPN を設定して、Bitbucket Server とユーザーとの間で情報が安全に転送されるようにする
  • 不正なネットワーク アクティビティが発生した際に検出するよう、侵入防止および侵入検出仮想アプライアンスを設定する
  • Amazon CloudTrail を有効化して VPC の API 操作を記録し、ネットワーク変更の監査証跡を残す

このページの内容

セキュリティ グループ

セキュリティ グループは、1 つ以上のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。新しく起動されたインスタンスに適用されるセキュリティ グループは、起動方法によって異なります。

  • AWS コンソールまたは API 経由でインスタンスを起動した場合、EC2 の起動プロセスで、新しいセキュリティ グループを作成するか、1 つ以上の既存のセキュリティ グループをそのインスタンスに関連付けることができます。Bitbucket へのインバウンド アクセスにはポート 22、80、443、および 7999 のみを許可し、もっとも厳格な IP 範囲からのみアクセスを許可することをおすすめします。
  • BitbucketServer.template または BitbucketDataCenter.template 経由で起動した場合、AWS CloudFormation はスタックの一部としてセキュリティ グループを作成および管理し、指定されたアドレスで構成される許可された IP 範囲から、ポート 22、80、443、および 7999 でのインバウンド アクセスを許可します。許可された IP 範囲にはもっとも厳格な値を指定し、起動後に、セキュリティ グループへの不要なインバウンド アクセスを追加しないようにすることをおすすめします。

セキュリティ グループを使用して、Bitbucket インスタンスへの受信トラフィックを必要最低限な量に制限することをおすすめします。

詳細は、「Linux インスタンスの Amazon EC2 セキュリティ グループ」を参照してください。 

HTTPS

HTTPS を有効にするには、有効な SSL 証明書が必要です。SSL 証明書は、商業ベースのサービスを提供する VeriSignDigiCert または Thawte などの信頼できるサードパーティ認証局 (CA) によって発行されている必要があります。アトラシアンでは、このようなサービスの提供や、サービスの使用のサポートは行っていません。 

有効な SSL 証明書をインストールするまで、新しい Bitbucket Server と Data Center インスタンスは、HTTPS ではなくプレーンな HTTP 経由でリクエストを処理するように構成されます。仮想プライベート ゲートウェイ経由で AWS に接続している場合を除き、すべてのパスワードとデータは、パブリック インターネット経由で暗号化されずに送信されます。

If you launch Bitbucket Server via BitbucketServer.template or manually as described in Launching Bitbucket Server in AWS manually, there is currently no way to install your own SSL certificate at initial launch time. If you intend for your Bitbucket Server instance to be internet facing, we recommend setting ATL_SSL_SELF_CERT_ENABLED=true to enable HTTPS to your instance at launch time, then installing a true SSL certificate as described in Administering Bitbucket Server in AWS as soon as possible after launch.

自己署名 SSL 証明書についての注意

If HTTPS is enabled via ATL_SSL_SELF_CERT_ENABLED=true a self-signed certificate will be generated for your Bitbucket Server instance.

自己署名証明書を引き続き使用する場合、次の点にご注意ください。

  • ほとんどのブラウザでは、Bitbucket Server Web インターフェイスに進むときにセキュリティ警告が表示されます。これは無視する必要があります。
  • git クライアントは、git config --global http.sslVerify false で自己署名証明書を無視するように構成されている場合を除き、Bitbucket Server への HTTPS 経由での接続を拒否します。
  • Bitbucket Server の REST API を使用する、自己署名証明書を許可しないアプリケーション リンクや他のアプリケーションとの連携は失敗する場合があります。

自己署名証明書を信頼できる認証局 (CA) から取得した証明書にできるだけ早く置き換える必要があります。

BitbucketDataCenter.template 経由で Bitbucket Data Center を起動する場合、起動前に SSL 証明書を Amazon にアップロードして、起動時にそれを SSL Certificate Name パラメーターとして指定できます。これにより、HTTPS が事前に設定されます。詳細は、「AWS で Bitbucket Data Center を実行する」を参照してください。

システムを最新に保つ

最大限のセキュリティを確保し、悪用や事故の可能性を最小限に抑えるため、パッチや更新を使用して Bitbucket Server インスタンスを最新に保つことは非常に重要です。Bitbucket Server の初回起動時に、AMI インスタンスはその時点の最新の Bitbucket Server の公式リリースをダウンロードします。このため、AWS で Bitbucket Server を初めて使用する際には必ず最新の Bitbucket Server を使用することになります。

更新を試みる前には必ずインスタンスのバックアップを作成するようにしてください。

Amazon Linux のセキュリティ アップデート

Bitbucket Server AMI は Amazon Linux に基づいており、Bitbucket Server AMI の最新リリースの公開時には、最新バージョンの Amazon Linux が使用されます。稀に、Amazon Linux で使用されるライブラリやユーティリティに脆弱性が見つかり、アップデートが Amazon Linux AMI yum リポジトリに投稿されることがあります。アトラシアンでは必要に応じて新しいバージョンの Bitbucket Server AMI を発行し、新しい Bitbucket Server AWS インスタンスがこれらのアップデートで開始されるようにしますが、既存のインスタンスを管理している場合は、これらのアップデートを自分で適用する必要がある可能性があります。デフォルトでは、Amazon Linux は再起動時にすべてのセキュリティ アップデートを適用します。管理者が "yum update --security" を実行することもできます。 

Amazon Linux AMI yum リポジトリから Bitbucket Server インスタンスに他のアップデートを適用することもできます。更新された任意のパッケージが、実行している Bitbucket Server バージョンをサポートしていることを確認する必要があります。Bitbucket Server バージョンの要件は「サポート対象プラットフォーム」ページで確認できます。

Bitbucket Server のアップデート

アトラシアンの Bitbucket Server チームは一定のリリース頻度の確保に取り組んでおり、新機能、パフォーマンス、およびセキュリティの修正を含むリリースを定期的に発行しています。Bitbucket Server をできる限り最新に保つことを強くおすすめします。既存のインスタンスで Bitbucket Server を更新するには、「Bitbucket Server アップグレード ガイド」に従います。

最終更新日: 2018 年 9 月 17 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.