AWS運用 VPNで安全に会社や自宅からAWSへ繋ぐ
AWSなどのクラウド環境は、通常インターネット経由で接続します。これが公開するwebサーバーであれば問題ありませんが、そのサーバーで非公開のアプリケーションを使用したり、メンテナンスしたりする場合などにおいて、サーバーへアクセスする際のセキュリティが心配です。
通常のインターネット接続でも一概に危険とは言えませんが、より安全に会社のネットワークや、モバイル端末などと接続する手段の1つとして「VPN」があります。通信にはインターネットを使用しますが、VPNを利用することでセキュリティレベルの高い通信ができます。
リモートワークが増えつつある昨今の状況から、ここでは「VPN」を利用した構成と運用について説明したいと思います。
目次
AWS運用に必要なVPNとは
VPNとは仮想プライベート・ネットワーク(Virtual Private Network)の略で、離れた場所の間を「仮想的な専用線」接続し、安全なデータ通信を実現します。一般的にVPNは対応するルータを用いて離れた拠点間のLAN同士を繋ぐことができます。
※ サイト間のVPN接続(Site-to-Site VPN)
VPNが普及する以前は多くの企業では安全な通信を行なうために専用線を利用していました。当時、専用線は利用するまでには多くの時間とコストが必要でしたが、2000年頃になってからVPNが登場し、専用線の問題を解消する画期的な技術として利用が広まりました。
通常のインターネット接続においても一定水準の安全性は確保しており、そのネットワークを利用するVPNは信頼性も担保しています。VPNは障害が発生した経路を迂回するため、ネットワークの障害発生箇所にもよりますが、通信障害にも強いと考えられます。専用線は通常、回線が単一障害点となっているため、障害発生時にネットワークが遮断されるだけでなく復旧に時間が必要となる場合があります。
また、PCの処理能力向上によりルーターなどの装置を使わずにソフトウェアでもVPN接続が出来るようになってきました。モバイル環境やリモートワーク環境でも手軽にVPNが利用できるので、作業場所を問わずに安全な通信ができるようになります。
AWS運用に必要な VPNの安全性と仕組み
通信の安全性を確保するために、VPNでは「トンネリング」と「暗号化」という2つの技術を使用します。
トンネリング:パケットに新たなヘッダを付加し、カプセル化(Encapsulation)して通信を行ないます。ユーザーはトンネリングされていることを意識することや、システムを変更することなく利用することが可能です。プライベートネットワーク同士の接続による、ローカルアドレスやマルチプロトコル通信を実現するインターネットVPNの最も重要な機能になります。
暗号化:トンネリングだけではデータは暗号化されないため、VPNでは通常は暗号化を併用します。
■ トンネリングと暗号化の利用例
| トンネリング | 暗号化 | 使用例 |
| — | — | 従来のwebサービス(http) |
| — | ◯ | 推奨されるwebサービス(https) |
| ◯ | — | 通常、使用することはありません |
| ◯ | ◯ | VPN |
AWSで利用可能なVPNの種類と適用範囲
目的や範囲に応じて、利用するVPNを使い分けることができます。
| 種類 | 適用範囲 | 要件・特徴など |
| サイト間のVPN接続 (Site-to-Site VPN) | サイト(会社などの拠点)とAWSを接続する際に使用 | 拠点にはルーターが必要 複数拠点間(n:n)の接続が可能 |
| クライアントVPN エンドポイント (Client VPN Endpoint) | サイト(会社などの拠点)とAWSを接続する際に使用 | AWSが提供する、フルマネージドVPN接続サービス |
| ソフトウェアVPN (Software VPN) | 対クライアントVPN接続 | パブリック環境のEC2インスタンス(踏台)にアプリをインストールして運用 |
| VPCピアリング (Peering Connection) | VPC間の接続 | AWSのネットワークを利用した接続 |
AWS運用に必要なVPNの導入〜運用コスト
VPNの種類により、どのようなコストが必要かを纏めました。
| 種類 | サイト間の VPN接続 (Site-to-Site VPN) | クライアントVPN エンドポイント (Client VPN Endpoint) | ソフトウェアVPN (Software VPN) | VPCピアリング (Peering Connection) |
| 導入時間[1] | ルーターの準備時間 | — | サーバー構築 ソフトウェア設定 | — |
| 導入費用 | ルーター費用[2] ルーター設定[3] 固定IPアドレス[4] | 不要 | ソフトウェア[5] | 不要 |
| クライアント側 | — | 不要 | ソフトウェア[5] | — |
| サーバー料金[6] | — | — | ◯ | — |
| 利用時間課金[7] | ◯ | ◯ | — | — |
| データ通信量[8] | ◯ | ◯ | ◯ | ◯ |
| 利用ユーザー数 | — | ◯ | — | — |
| サーバー運用管理 | — | — | ◯ | — |
[1] AWSコンソール上での設定以外に必要な時間
[2] 新規購入の場合(既存のルーターを利用できる場合は不要)
[3] ネットワーク業者に依頼する場合(社内で対応できる場合は不要)
[4] 固定IP契約していなかった場合(契約済みの場合は不要)
[5] 有償ソフトウェアを利用する場合(フリーソフトウェアを利用する場合は不要)
[6] サーバーのスペックにより異なる(月額)
[7] 通信している時間ではなく、設定している時間による課金
[8] 基本的にAWSからの出力に対する課金(VPCピアリングを除く)
AWS運用 VPNで安全に会社や自宅からAWSへ繋ぐ(まとめ)
「サイト間のVPN接続」を利用することで、会社からAWSへの接続は比較的低コストで安心・安全に実現できるだけでなく、社内のネットワークとシームレスにプライベート接続できることがメリットです。ユーザーはクラウドにサーバーがあることを意識することなく、アプリケーションやファイルを利用することができます。
「クライアントVPNエンドポイント」と「ソフトウェアVPN」は、モバイルやリモートワークの環境でユーザーのパソコンからVPN接続するための手段です。どちらを利用するかは利用人数がコスト面でのポイントになります。
フルマネージドサービスのクライアントVPNエンドポイントはユーザー数が増えると単純にコストが増えますが、ソフトウェアVPNはアプリケーションとサーバーの運用管理コストが必要になるため、一概に判断することはできません。
「VPCピアリング」はAWS上の異なったネットワーク(VPC)を接続するためのサービスです。既存のAWSネットワークとの接続だけでなく、部門ごとにネットワークを分割設計し、必要に応じてピアリング接続するなど、柔軟な対応が可能です。
弊社にご相談いただければ、弊社のノウハウを生かしたお客様の構想に応じたネットワーク設計のお手伝いができると考えております。
元記事発行日: 2020年09月07日、最終更新日: 2023年04月03日
はじめての AWS Lambda
AWS セキュリティ特化のイベント、re:Inforce 2023 がアナハイムで行われました!
AWS の Amazon RDS をオススメする3つの理由(RDS と RDB on EC2の比較)
AWS の Amazon SES で EC2 からメール送信してみよう
AWS Amazon CloudFront でアクセスログを簡単に確認・分析してみる
AWS運用におけるスナップショットを用いたバックアップ戦略
AWS CodeDeploy でロールバック時に削除されないリソースを自動削除するように実装してみた
AWS運用に必須 (!?) な認定試験 申し込みのコツ 〜当日まさかのハプニング〜
