- Home
- KUSANAGIで安心!Webサイトの高速化、セキュリティについて語るコラム, 全コラム
- 【KUSANAGI】またまたセキュリティバージョンアップ! SELinuxとTLS1.3に対応(穂苅智哉のKUSANAGI高速セキュリティコラム)
【KUSANAGI】またまたセキュリティバージョンアップ! SELinuxとTLS1.3に対応(穂苅智哉のKUSANAGI高速セキュリティコラム)
- 2018/10/27
1.はじめに
みなさん、こんにちは!
プライム・ストラテジーでコンサルタントをしております、穂苅 智哉 (ほかり ともや) です。
プライム・ストラテジーは、WordPressを使ったシステムインテグレーションとしてWebサイト構築、クラウドインテグレーション事業として各種セキュリティ対策のバージョンアップやパブリッククラウド選定、またその後の継続的なWordPressとサーバー保守作業としてKUSANAGIサポートサービスを展開しております。
前回は『KUSANAGIの大規模セキュリティバージョンアップ』というテーマについて書いてきました。
私自身もよくお客様から聞かれる、「WAF(Web Application Firewall)」や「脆弱性スキャンツール」、「IDS(Intrusion Detection System)」、「IPS(Intrusion Protect System)」という従来のKUSANAGIでは実現できていなかった対策が標準で導入されましたので、ぜひご覧ください!
【KUSANAGIのバージョンアップ】WAFのお話(穂苅智哉のKUSANAGI高速セキュリティコラム)
さて、今回はセキュリティ系で更にKUSANAGIがバージョンアップしたという話題を取り上げます。
2.「KUSANAGI」がSELinuxとTLS1.3に対応し、セキュリティ強化を完了
KUSANAGIは9月の最初の大幅なバージョンアップを行いましたが、さらにセキュリティ強化のために、SELinuxとTLS1.3への対応を行いました。
KUSANAGI公式サイト:https://kusanagi.tokyo/
ニュースリリース:https://www.prime-strategy.co.jp/information/kusanagi-security-campaign/
2-1.SELinux対応
SELinux(Security-Enhanced-Linux)とは、セキュリティ関連のLinuxカーネルの制御機能強化のモジュールの事を言います。
もう少し細かく言うと、
SELinux (Security-Enhanced Linux) は Linux カーネルに MAC (Mandatory Access Control) を実装するもので、標準の Discretionary Access Controls (DAC: 任意アクセス制御) を確認した後で許可される操作をチェックします。SELinux は、定義されたポリシーを基に Linux システム内のファイルやプロセスおよびその他のアクションにルールを強制できます。
ということになります。
KUSANAGIではKUSANAGI環境用にSELinuxポリシーがあらかじめ設定されているので、特にSELinuxの知識がなくても運用できます。
KUSANAGIのアップデート
# yum update
を行った後に、下記コマンドを入力することでSELinuxを有効化できます。
# kusanagi selinux on
簡単ですね。また、yum updateした後でも kusanagi selinux onを行わなければ無効化されたままとなります。
(参考)KUSANAGI バージョンアップ情報 8.4.1-1
2-2.OpenSSL1.1.1 (TLS1.3)対応
TLS(Transport Layer Security)は、インターネット上で標準的にされている暗号通信のプロトコルのことですが、バージョン1.3は最新のバージョンになります。
そもそも、OpenSSLといってSSL(Secure Sockets Layer)やTLSのプロトコルを実装したオープンソースの標準的なライブラリがあります。
KUSANAGIのOpenSSLは当初からLTS(Long-term support:⻑期サポート)のバージョンである1.0.2を利用してきました。OpenSSLのLTSのバージョン1.0.2については2019年末までサポートされるのですが、2018年9月11日に新たなLTSリリースとして1.1.1が公開されたため、KUSANAGIでもOpenSSL1.1.1を導入しました。
OpenSSL1.1.1では、
- 3の導入
- クライアント-サーバ間の接続時間の改善安全でない暗号アルゴリズムの排除
- より安全な暗号アルゴリズムの導入サイドチャネル攻撃のセキュリティ強化
といったいくつものセキュリティ強化がされています。
現在の主流はTLS1.2です。しかしTLS1.2というバージョンもリリースから10年ほど経っており、脆弱性を生むような欠点がありました。そこでこれからはTLS1.3がどんどん主流になってくることは間違いありません。
終わりに
今回はKUSANAGIのさらなるセキュリティバージョンアップについて書いてきました。内容として9月のバージョンアップよりも馴染みが薄い部分の話しになってしまったかもしれません。しかしセキュリティ対策というのはそういった「見えない部分」をいかに対応できるかということでもあると思います。
この記事を読んでいただいた方はぜひSELinuxやOpenSSLについて調べて見てください。エンジニアではない方でもWebにたずさわっている方はこれからセキュリティの知識は大事になってきていると思います。
Webのセキュリティ対応、運用体制、パフォーマンスなどにお悩みを抱えている方がおりましたら、まずはお話を聞かせください。有益な情報交換から、課題を解決できるためにお手伝いさせていただきたいと考えています。
それでは、また次回をお楽しみに!!
※プライム・ストラテジーのWordPress公式サポートについては以下をご覧ください。
https://www.si-jirei.jp/kusanagi/
※KUSANAGIの事例については、下記をご覧ください。
https://www.prime-strategy.co.jp/achievements/achievements-service/kusanagi_cases/
