デプロイ初心者の多くは、ポート8028や8035も80や443と同じTCPポートなのに、なぜ本番環境では通常80と443だけを開放し、ハイポートを直接インターネットに公開することを推奨しないのか疑問に思います。答えはポート自体ではなく、セキュリティアーキテクチャと運用ガバナンスにあります。ハイポートを公開すると攻撃対象領域が増え、ファイアウォールルールが複雑化し、コンプライアンス監査が難しくなり、WAFやリバースプロキシなどの集中セキュリティ制御をバイパスすることがよくあります。この記事では、実践的な例を交えてその理由を解説し、80/443のみのルールを強く推奨しています。DevOpsエンジニア、システム管理者、インターネット向けサービスをデプロイするすべての人にとって必読の内容です。この原則は時代を超えて有効であり、クラウド、オンプレミス、ハイブリッド環境に同様に適用されます。
本番システムではポート80と443のみを公開すべき理由を、セキュリティ、コンプライアンス、運用面から明確に解説します。