システム部の鈴木です。
ここ数年でITベンチャーの新たなサービスがさらに増えてきていると感じています。
多くの会社がAWSのIaaSを利用していると思われるのですが、サーバからのAPI通信が発生する様な共有型サービスでElastic Load Balancingを利用している場合、ユーザ企業側で厳しめの制限をかけていると実は1点問題が出てきます。
それはELBがElastic IPアドレスを保持していない事が原因で起こります。
ELBへはパブリックDNSアドレスを利用して、サービス向けのドメインに対してCNAMEレコードで紐付けて利用するのが一般的です。
そのため、ユーザ企業のサーバがFirewallでACLの制限を受けている場合、サーバからAWSで構築された共有サービス型のAPI通信を行う際に、IPアドレスが固定出来ずAWSのIPアドレスレンジで解放しなければならなくなり、セキュリティ要件が満たせなくなる可能性があります。
もちろんこれは、サービスがHTTPやHTTPSを利用しており、アクセス制限にProxyサーバを利用している場合は影響を受けませんので、接続元クライアント毎にアクセス可能なURLを指定することで対応は可能です。
しかし、共有型サービスの多くは導入の手軽さを売りにしている場合がほとんどですので、サーバサイドからのAPI通信が発生するようなサービスで、ユーザ企業でセキュリティ要件が求められているサーバからのアクセスを必要とする様な場合はIaaSサービスの選定時に注意する必要があります。
また冒頭にも記載しましたが、ELBではCNAMEでレコード登録を行う必要がありますので、zone apexでサービスを行おうと考えている場合なども、route 53に制限される等の特性を理解して構築を行う必要があります。
新たにサービス展開を検討されている方は、IaaSにもこういった問題がある。
ということを認識していただければ幸いです。
※本件は、自社内で幾つかのサービス調査を行っている際に発見した事項であり、2015年以降改善される可能性があります。
