locked
重要書類の配置について リバースプロキシ+IISで管理するか ホスティングに配置するかで悩んでいます RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります

    現在取引先に重要書類を送るシステムを開発するに当たり、

    サーバー構成をどうするかで悩んでいます。

    重要書類とは、不動産の謄本、不動産の契約書をスキャンしたPDFファイルです。

    現状のシステムでは、それらの書類を直接先方に e-Mailを利用して送信しているのですが、

    e-Mailではファイルサイズの容量等、制限事項が多いため、運用方法を変更しようとしています。

    変更内容としては、

     ①メールの送信予約を行う

     ②書類のPDFをサーバに配置する。

     ③相手先にDL用のURLを送る

     ④相手先は送信されてきたURLからファイルをDLする。といった仕組みです。

    当然時間制限や、ユーザー名パスワードの制限をかけるつもりですが、ファイルの配置場所について悩んでいます。

    1案 ファイルの配置は社内LANの中に配置する

        ・ リバースプロキシ+IIS7を利用して社内サーバにファイルを配置して、先方はリバースプロキシを利用してDLする。

        ・ リバースプロキシを利用しているので当然LAN内のどのサーバにファイルが保存されているのかわからない。

    2案 ファイルをインターネット上のホスティングしているサーバに配置する

        ・ 単純にインターネット上にファイルを配置し、認証のみで制御(配置しているサーバー名はわかってしまう。)

    以前上司から、リバースプロキシサーバを利用して行うことは危険だと言われた経緯があったのですが、現在もそのようなことを行うのは危険な行為なのでしょうか?

    セキュリティの面等も考慮して慎重に行わなければならないのですが。。。

     IIS+リバースプロキシってそんなに危険ですか???

     また、インターネット上に配置するサーバは OCNのL1というプランです。OSが不明なのですが、apacheを利用しています。

    どのような構成がベストなのかご教授いただければ幸いです。

    安藤さん

    2013年2月7日 1:02

回答

  • Question
    サインインして投票
    1
    サインインして投票

    こんにちは。

    案のどちらが良いとは言い切れませんが、リバースプロキシに関して稚拙な意見を言わせていただくとすれば、

    リバースプロキシが危険なのではなくて、
    インターネット -- R-Proxy -- イントラネット
    という構成が危険(イントラを守るという意味で)なのではないかなと思いました。R-Proxyの運用でミスるとアウトですし。

    自分であれば(予算の問題もあるかもしれませんが)
    インター -- R-Proxy(or F-Wall) -- [DMZ(IIS)] -- F-Wall -- イントラ

    ってするなぁと思いました。

    [DMZ] に配置された、IISに接続してダウンロード(+ 認証・承認)してもらい、[DMZ] -- イントラ間は、必要な時のみ接続を開ければよいですし。
    普通(普通って何ってのはあるかも)の構成で良いのではないか?って思いました。

    どこまでのセキュリティをイメージしているのかわかりませんが、IP-VPNなどもありますし、何を(どこを)どの程度守るのか?をもう少し考えると良いかもしれません。
    自前サーバーですと運用(セキュリティ)負荷が結構高いものとなりますが、アカウント管理などは動的に操作できます。
    ホスティングだとあまり自由にならないですよね。
    といった事など、いろいろな面での比較をすると良いと思います。

    OCNのL1って、所謂、ホームページとメール用のレンタルサーバですよね?
    これって、目的に合うのかなぁ、なんだか違う感じがします。
    セキュリティ要件によっては、SkyDriveでも十分な気がします(メールでの添付送信よりは安全ですし…)

    • 回答の候補に設定 星 睦美 2013年2月12日 5:21
    • 回答としてマーク 星 睦美 2013年2月15日 7:15
    2013年2月8日 1:29
  • Question
    サインインして投票
    1
    サインインして投票

    IISやリバースプロキシでの回答じゃないですけど、こういうアプリケーションを使うのもありかもしれないですね。

    BlobShare Sample - Home

    http://blobshare.codeplex.com/

    • 回答の候補に設定 星 睦美 2013年2月12日 5:21
    • 回答としてマーク 星 睦美 2013年2月15日 7:15
    2013年2月8日 1:46

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    安藤 さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    自社内にファイルサーバーを構築して外部に公開する案と、外部にホスティングされたサーバーを利用する案を検討されているわけですね。
    TechNet フォーラムは製品に関する技術的な面での情報交換を目的にしているため、安藤 さんの業務用途にあったファイル共有の運用方法に関しては回答が難しいと思います。
    私のほうでWindows Server 2008 での構築に関するアドバイスになる回答がみつかるのではないかと思いますので、今回の質問はWindows Server 2008 全般 フォーラム に移動させていただきます。

    フォーラムで役立つ回答がありましたら投稿者から[回答としてマーク]をお願いします。

    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美


    • 編集済み 星 睦美 2013年2月7日 2:31 編集
    2013年2月7日 2:28
  • Question
    サインインして投票
    0
    サインインして投票

    星さま

    ありがとうございます。

    安藤さん

    2013年2月7日 4:14
  • Question
    サインインして投票
    1
    サインインして投票

    こんにちは。

    案のどちらが良いとは言い切れませんが、リバースプロキシに関して稚拙な意見を言わせていただくとすれば、

    リバースプロキシが危険なのではなくて、
    インターネット -- R-Proxy -- イントラネット
    という構成が危険(イントラを守るという意味で)なのではないかなと思いました。R-Proxyの運用でミスるとアウトですし。

    自分であれば(予算の問題もあるかもしれませんが)
    インター -- R-Proxy(or F-Wall) -- [DMZ(IIS)] -- F-Wall -- イントラ

    ってするなぁと思いました。

    [DMZ] に配置された、IISに接続してダウンロード(+ 認証・承認)してもらい、[DMZ] -- イントラ間は、必要な時のみ接続を開ければよいですし。
    普通(普通って何ってのはあるかも)の構成で良いのではないか?って思いました。

    どこまでのセキュリティをイメージしているのかわかりませんが、IP-VPNなどもありますし、何を(どこを)どの程度守るのか?をもう少し考えると良いかもしれません。
    自前サーバーですと運用(セキュリティ)負荷が結構高いものとなりますが、アカウント管理などは動的に操作できます。
    ホスティングだとあまり自由にならないですよね。
    といった事など、いろいろな面での比較をすると良いと思います。

    OCNのL1って、所謂、ホームページとメール用のレンタルサーバですよね?
    これって、目的に合うのかなぁ、なんだか違う感じがします。
    セキュリティ要件によっては、SkyDriveでも十分な気がします(メールでの添付送信よりは安全ですし…)

    • 回答の候補に設定 星 睦美 2013年2月12日 5:21
    • 回答としてマーク 星 睦美 2013年2月15日 7:15
    2013年2月8日 1:29
  • Question
    サインインして投票
    1
    サインインして投票

    IISやリバースプロキシでの回答じゃないですけど、こういうアプリケーションを使うのもありかもしれないですね。

    BlobShare Sample - Home

    http://blobshare.codeplex.com/

    • 回答の候補に設定 星 睦美 2013年2月12日 5:21
    • 回答としてマーク 星 睦美 2013年2月15日 7:15
    2013年2月8日 1:46
  • Question
    サインインして投票
    0
    サインインして投票

    なるほど。

    ファイル自体DBに格納してしまうっていう考え方。。。っすね。

    ファイルを直接置くわけではないのでよさそうですね。。。

    安藤さん

    2013年2月8日 2:35
  • Question
    サインインして投票
    0
    サインインして投票

    返信ありがとうございます。

    >インター -- R-Proxy(or F-Wall) -- [DMZ(IIS)] -- F-Wall -- イントラ

    こうしないと確かに危険ですよね。

    「何を(どこを)どの程度守るのか?」ここを考えて再度構成を考えたほうがよさそうですね。

    できるだけ外部に書類を置きたくないと思っているので、OCN案は「うーん?」と思っているところではあります。

    比較表等を作成してみたいと思います。

    SkyDriveってそのような運用が可能なのですか???

    自分専用としか思っていませんでした。。。。

    安藤さん

    2013年2月8日 4:56