基本認証

Basic 認証はエッジでウェブサイトを保護する簡単な方法です。ユーザーが Basic 認証で保護されたページにアクセスするには、ユーザー名とパスワードの組み合わせを入力します。テスト環境やステージング環境などリスクの低いページであれば、Basic 認証を使用してアクセスを制限することができます。

VCL または Compute@Edge を使用する

Basic 認証はカスタム VCL、VCL スニペット、または Compute@Edge を使用することで実装できます。詳細については、HTTP Basic 認証の例を参照してください。

GCS での Basic 認証

Google Cloud Storage (GCS) をオリジンサーバーとして利用し、Basic 認証を行うには、リクエストヘッダーを追加し、 http.Authorization ヘッダーが GCS に送信されないように削除します。GCS がこのヘッダーを受信するとリクエストの代わりに「Not Authorized」メッセージを返します。

セキュリティへの考慮

Basic 認証の使用にあたり、何点かセキュリティ上の考慮事項があります。

• Basic 認証はリスクの高い情報を保護できません。機密情報へのアクセスを制限する用途では使用しないでください。
• TLS を利用していない場合、パスワードは Base64 エンコードのままネットワークに送信されます。エンコードされた文字列は Wireshark などのアプリケーションを使用して簡単にキャプチャされ、平文に変換できます。
• パスワードはユーザーの Web ブラウザによってキャッシュされ、ユーザーの Web ブラウザによって永久に保管されます。

アクセス制御リストの使用

Basic 認証の代わりに、アクセス制御リスト (ACL) を使用して、IP アドレスのセットをホワイトリストに登録することで、アセットへのアクセスを制限することもできます。ACL で IP アドレスをホワイトリストに登録するには、カスタム VCL を Fastly のボイラープレート VCL に追加します。

1
2
3
4
5
6
# Who is allowed access ...
acl local {
    "localhost";
    "192.168.1.0"/24; /* and everyone on the local network */
    ! "192.168.1.23"; /* except for the dial-in router */
}

詳細については、ACL ガイドを参照してください。