備忘録的ですが、以前ハマったので残しておきたいと思いました。

私の思う「普通」の設計

システムにとあるメーカのとある製品を入れようと思った時、メーカが公開している通信要件を確認して、UDP/TCPでこんなポートをファイアウォールで許可する必要があると言うことを把握して、設計に落とし込んでいきます。

ハマったこと

Merakiのスイッチでもハマりましたし、とあるクラウドPBXでもハマりました。

メーカの公開している通信要件と、ファイアウォールで許可しているポリシー（ACL）を何度確認してもあっているのに、クラウドとの同期ができませんでした。

仕方なくポートを絞らないポリシーを追加すると、いくつか通信がそのポリシーに引っかかりました。

8.8.8.8に対するDNSや、どこかのIPに対するNTPの通信がありました。

DNSも有名な8.8.8.8でしたが、これもたまたまです。なぜならメーカのドキュメントに書いてないので、こちらでは事前に把握しようがありません。NTPの「どこかのIP」も誰の何のIPか分からず、絞りようがありません。変わるかも知れないし、メーカのドキュメントに書いていないので。

結論

言われてみればDNSやNTPなんて基本中の基本のプロトコルなので、使われていてもなんら驚きませんが、メーカの通信要件に書いていないのです。

セキュリティの観点で必要なポートのみ開けます、イコール、メーカの指定する通信のみ許可します、と言うロジックでお客さんに説明しているのに、メーカは書いてませんが許可します、とはなかなか言えないものです。

特にお客さんが非エンジニアなら説得はかなり難しいです。

そこで私なりの結論としては、DNSやNTP等の基本中の基本プロトコルは、最初から許可する前提でお客さんと話を進めること、設計に落とし込むことです。