Amazon Virtual Private Cloud
Amazon Virtual Private Cloud (VPC) は、Amazon Web Services (AWS) クラウド内に、論理的に隔離されたネットワーク環境を構築できるサービスです。ユーザーは、この仮想プライベートクラウド内で、Amazon Elastic Compute Cloud (EC2) などのリソースを安全に利用できます。
Amazon VPCは、OpenStackやHPE Helion Eucalyptusといった技術を使い、プライベートクラウドと同様の機能を提供することを目的としています。しかし、プライベートクラウドは、アプリケーションホスティングやデータベースなど、さらに幅広いテクノロジーを包含する場合があります。
クラウドセキュリティの専門家は、社内システムにはない公共リソースを利用する際、制御不能やサービス中断などのリスクがあると指摘しています。また、VPCに関する取引記録が国家安全保障書簡によって要求された場合、顧客への通知が法的に許可されない場合もあります。これは、VPCリソースが海外にある場合でも同様です。
AWSで使用されているAPIは、HPE Helion EucalyptusのAPIと一部互換性がある程度で、他のプライベートクラウドシステムとの互換性は低く、AWSからの移行が困難になる可能性があります。このため、特定の技術へのロックインのリスクも指摘されています。
VPCを作成する際、ユーザーはまずIPアドレスの範囲を選択します。この範囲内で、VPC内のインスタンスにプライベートIPアドレスやパブリックIPアドレスを割り当てることが可能です。これにより、インターネットや他のVPCのインスタンスと通信できます。
割り当てられるIPアドレスは、VPCアカウント全体ではなく、特定のインスタンスに紐付けられます。パブリックIPアドレスの静的割り当てはできませんが、代わりにElastic IPアドレスを使用することで、一貫したIPアドレスを維持できます。
AWS VPCは、インターネット、ユーザーの企業データセンター、他のユーザーのVPCへの接続を可能にします。
VPCは、設定されたインターネットアクセスのみを許可することで、高いセキュリティを確保できます。VPC内のインスタンスには、プライベートIPアドレスに加えて、パブリックIPv4アドレスを割り当てることもできます。インターネットゲートウェイをVPCに接続し、サブネットのルートテーブルにインターネットゲートウェイへのルートを追加することで、パブリックIPアドレスを持つインスタンスはインターネットに接続できます。
VPCのサブネットは、以下の2つに分類されます。
パブリックサブネット: トラフィックがインターネットゲートウェイにルーティングされます。
プライベートサブネット: トラフィックがインターネットゲートウェイにルーティングされません。
パブリックサブネットのインスタンスは、インターネットゲートウェイを介してインターネットとの双方向の通信が可能です。プライベートサブネットは、直接のインターネット通信はできませんが、NATゲートウェイを設定することで、インスタンスからのアウトバウンド接続のみを許可できます。
パブリックサブネットのインスタンスでも、セキュリティグループを用いて詳細なアクセス制御が可能です。例えば、アウトバウンドのみを許可することで、外部への接続はできるが、外部からの接続は許可しないといった設定も可能です。
デフォルト設定では、ルートテーブルは「0.0.0.0/0 = IGW」、セキュリティグループは「egress-only (すべての発信は許可、同一セキュリティグループ内の着信のみ許可)」、インスタンスは「elasticIPv4割り当て、デフォルトセキュリティグループ割り当て」となっています。
ユーザーは、ハードウェアVPN接続を構築することで、データセンターとVPCを接続できます。この接続により、VPC内のAmazon EC2インスタンスと、ユーザーの既存ネットワーク内のリソースが、あたかも同じネットワーク上にあるかのように通信できるようになります。
プライベートIPアドレスを用いて、1つのVPCから別のVPCへトラフィックをルーティングできます。ピアリングは、同じアカウント内のVPC間だけでなく、異なるアカウントのVPC間でも設定可能です。VPCピアリングは1対1の接続ですが、複数のVPCに同時に接続できます。
AWS VPCのセキュリティは、主に以下の2つの方法で確保されています。
1. セキュリティグループとネットワークACL: セキュリティグループはインスタンスレベルで、ネットワークACLはサブネットレベルで、トラフィックを制御するファイアウォールとして機能します。
2. 専用インスタンス: 専用インスタンスは、他のユーザーのインスタンスや非専用インスタンスから物理的に隔離されます。
AWS VPCは無料で利用できますが、EC2リソースの利用量に応じて料金が発生します。VPN経由でVPCにアクセスする場合も料金が発生します。
Amazon Elastic Compute Cloud
Seamlessly Extending the Data Center - Introducing Amazon Virtual Private Cloud - Amazon CTOのワーナー・ヴォゲルスによるブログ記事
プライベートクラウドとの比較
Amazon VPCは、OpenStackやHPE Helion Eucalyptusといった技術を使い、プライベートクラウドと同様の機能を提供することを目的としています。しかし、プライベートクラウドは、アプリケーションホスティングやデータベースなど、さらに幅広いテクノロジーを包含する場合があります。
クラウドセキュリティの専門家は、社内システムにはない公共リソースを利用する際、制御不能やサービス中断などのリスクがあると指摘しています。また、VPCに関する取引記録が国家安全保障書簡によって要求された場合、顧客への通知が法的に許可されない場合もあります。これは、VPCリソースが海外にある場合でも同様です。
AWSで使用されているAPIは、HPE Helion EucalyptusのAPIと一部互換性がある程度で、他のプライベートクラウドシステムとの互換性は低く、AWSからの移行が困難になる可能性があります。このため、特定の技術へのロックインのリスクも指摘されています。
IPアドレス
VPCを作成する際、ユーザーはまずIPアドレスの範囲を選択します。この範囲内で、VPC内のインスタンスにプライベートIPアドレスやパブリックIPアドレスを割り当てることが可能です。これにより、インターネットや他のVPCのインスタンスと通信できます。
割り当てられるIPアドレスは、VPCアカウント全体ではなく、特定のインスタンスに紐付けられます。パブリックIPアドレスの静的割り当てはできませんが、代わりにElastic IPアドレスを使用することで、一貫したIPアドレスを維持できます。
接続性
AWS VPCは、インターネット、ユーザーの企業データセンター、他のユーザーのVPCへの接続を可能にします。
インターネット
VPCは、設定されたインターネットアクセスのみを許可することで、高いセキュリティを確保できます。VPC内のインスタンスには、プライベートIPアドレスに加えて、パブリックIPv4アドレスを割り当てることもできます。インターネットゲートウェイをVPCに接続し、サブネットのルートテーブルにインターネットゲートウェイへのルートを追加することで、パブリックIPアドレスを持つインスタンスはインターネットに接続できます。
VPCのサブネットは、以下の2つに分類されます。
パブリックサブネット: トラフィックがインターネットゲートウェイにルーティングされます。
プライベートサブネット: トラフィックがインターネットゲートウェイにルーティングされません。
パブリックサブネットのインスタンスは、インターネットゲートウェイを介してインターネットとの双方向の通信が可能です。プライベートサブネットは、直接のインターネット通信はできませんが、NATゲートウェイを設定することで、インスタンスからのアウトバウンド接続のみを許可できます。
パブリックサブネットのインスタンスでも、セキュリティグループを用いて詳細なアクセス制御が可能です。例えば、アウトバウンドのみを許可することで、外部への接続はできるが、外部からの接続は許可しないといった設定も可能です。
デフォルト設定では、ルートテーブルは「0.0.0.0/0 = IGW」、セキュリティグループは「egress-only (すべての発信は許可、同一セキュリティグループ内の着信のみ許可)」、インスタンスは「elasticIPv4割り当て、デフォルトセキュリティグループ割り当て」となっています。
外部サービス
ユーザーは、ハードウェアVPN接続を構築することで、データセンターとVPCを接続できます。この接続により、VPC内のAmazon EC2インスタンスと、ユーザーの既存ネットワーク内のリソースが、あたかも同じネットワーク上にあるかのように通信できるようになります。
VPCピアリング
プライベートIPアドレスを用いて、1つのVPCから別のVPCへトラフィックをルーティングできます。ピアリングは、同じアカウント内のVPC間だけでなく、異なるアカウントのVPC間でも設定可能です。VPCピアリングは1対1の接続ですが、複数のVPCに同時に接続できます。
プライバシー
AWS VPCのセキュリティは、主に以下の2つの方法で確保されています。
1. セキュリティグループとネットワークACL: セキュリティグループはインスタンスレベルで、ネットワークACLはサブネットレベルで、トラフィックを制御するファイアウォールとして機能します。
2. 専用インスタンス: 専用インスタンスは、他のユーザーのインスタンスや非専用インスタンスから物理的に隔離されます。
AWS VPCは無料で利用できますが、EC2リソースの利用量に応じて料金が発生します。VPN経由でVPCにアクセスする場合も料金が発生します。
関連項目
Amazon Elastic Compute Cloud
参考文献
外部リンク
Seamlessly Extending the Data Center - Introducing Amazon Virtual Private Cloud - Amazon CTOのワーナー・ヴォゲルスによるブログ記事
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。