要塞ホストとは?
要塞ホストは、インターネットへの内部コンピューターシステムまたはネットワークの公共の顔であり、機密またはプライベートデータおよび内部ネットワークを保護するために使用されます。 パブリックネットワークから直接アドレス指定できる唯一のホストコンピューターとして指定されているのは、システムのサイズとセキュリティプロトコルの複雑さに応じて1台以上のコンピューターです。 要塞ホストは、コンピューターネットワークの残りの部分が外部からの攻撃やその他のセキュリティ違反にさらされないように特別に設計されています。 要塞ホストは汎用コンピューターではありませんが、外部の攻撃に耐えるように特別に構成する必要がある専用コンピューターです。
通常、ネットワーク管理者は、インターネットなどの大規模な信頼できないネットワークに完全に公開されるため、プロキシサーバーなどのアプリケーションが1つだけになるように要塞ホストを構成します。 他のすべてのアプリケーション、不要なサービス、プログラム、プロトコル、およびネットワークポートは、要塞ホストに対する脅威を軽減するために削除または無効化されます。 コンピューターネットワーク内の信頼できるホストであっても、要塞ホストは認証サービスを共有しません。 これは、要塞が危険にさらされた場合でも、侵入者が要塞が保護するように設計されたシステムにそれ以上アクセスできないようにするためです。
要塞ホストは、有用であるために、外部ネットワークによるある程度のアクセス権を持っている必要がありますが、同時にこのアクセスにより、攻撃に対して特に脆弱になります。 脆弱性を最小限に抑えるために、攻撃の可能な方法が制限されるように強化が行われます。 ネットワーク管理者は、強化プロセスの一環として、不要なユーザーアカウントの削除または無効化、ルートアカウントまたは管理者アカウントのロックダウン、使用されていないポートのクローズ、サーバーへのサインオン時に暗号化を含むログの構成などを行います。 オペレーティングシステムは最新のセキュリティ更新プログラムで更新され、侵入検知システムも要塞ホストで実行される場合があります。
要塞ホストは、メールハブ、Webサイトホスティング、ファイル転送プロトコル(FTP)サーバー、ファイアウォールゲートウェイなどのサービスに使用されます。 ネットワーク管理者は、このタイプのホストをプロキシサーバー、仮想プライベートネットワーク(VPN)サーバー、またはドメイン名システム(DNS)サーバーとして使用することもできます。 「砦」という名前は、中世の歴史に由来します。 保護を強化するために、要塞は、要塞と呼ばれる突起で構築されました。