基本認証

Basic 認証はエッジでウェブサイトを保護する簡単な方法です。ユーザーは基本認証で保護されたページにアクセスするためにユーザー名とパスワードの組み合わせを入力します。テスト環境やステージング環境などリスクの低いページであれば、基本認証を使用してアクセスを制限することができます。

基本認証の実装

カスタム VCL または Compute@Edge を使用して基本認証を実装するには、HTTP 基本認証の例に従ってください。

GCSでの基本認証

Google Cloud Storage (GCS) をオリジンサーバーとして利用し、基本認証を行う場合には、 HTTP リクエストとレスポンスのヘッダー追加・変更により、http.Authorizationヘッダを削除し、GCS に送信しないようにします。このヘッダーが GCS に送信されると "Not Authorized" の原因となります。

セキュリティへの考慮

基本認証を使用する前にセキュリティ上の考慮事項がいくつかあります。

• 基本認証ではリスクの高い情報を保護できません。機密情報へのアクセスを制限するために使用しないでください。
• TLS を利用していない場合、パスワードは Base64 エンコードのままネットワークに送信されます。エンコードされた文字列は Wireshark などのアプリケーションを使用して簡単にキャプチャされ、平文に変換できます。
• パスワードはユーザーの Web ブラウザーによってキャッシュされ、ユーザーの Web ブラウザーによって永久に保管されます。

アクセス制御リストの使用

基本認証の代わりに、アクセス制御リスト (ACL) を使用して、IP アドレスのセットをホワイトリストに登録することで、アセットへのアクセスを制限することができます。ACL で IP アドレスをホワイトリストに登録するには、カスタム VCL を Fastly のボイラープレート VCL に追加します。

1
2
3
4
5
6
# Who is allowed access ...
acl local {
    "localhost";
    "192.168.1.0"/24; /* and everyone on the local network */
    ! "192.168.1.23"; /* except for the dial-in router */
}

詳細については ACL ガイドを参照してください。