![]()
Amazon Virtual Private Cloud (VPC) は、Amazon Web Services (AWS) クラウドの論理的に分離されたセクションをプロビジョニングすることで、ユーザーに仮想プライベートクラウドを提供する商用クラウドコンピューティングサービス[1]。企業顧客は、IPsecベースの仮想プライベートネットワーク(VPN)を介してAmazon Elastic Compute Cloud(EC2)にアクセスできる[2][3] 。Amazonにより内部および外部IP番号を割り当てられていた従来のEC2インスタンスとは異なり、顧客は1つまたは複数のサブネットから選択したIP番号を割り当てることができる[4] 。VPCは、公開されているAWSリソースと非公開のAWSリソースを選択できるオプションを提供することにより、セキュリティをより細かく制御できる。 Amazonの場合、これは「ハイブリッドアプローチの裏付けであるが、プライベートクラウドへの関心の高まりに対抗するためのものでもある」[5]
プライベートクラウドとの比較
Amazon Virtual Private Cloudは、OpenStackやHPE Helion Eucalyptusなどの技術を使用して、プライベートクラウドと同様のサービスを提供することを目的としている。しかし、プライベートクラウドは、通常、OpenShiftアプリケーションホスティングやさまざまなデータベースシステムなどのテクノロジーも使用する。 クラウドのセキュリティ専門家は、社内システムには存在しない公共リソース [6] を使用する際には制御不能やサービスの中断など、コンプライアンス上のリスクが存在する可能性があると警告している。 ナショナルセキュリティレターを使用してVPCについてAmazonから取引記録を要求された場合でも、顧客にシステムのセキュリティ違反を知らせることは合法的に許可されないことさえある。 これは、実際のVPCリソースが他の国にあったとしても当てはまる[7] 。AWSで使用されるAPIは、HPE Helion EucalyptusのAPIと一部互換性があるだけで、他のプライベートクラウドシステムと互換性がないため、AWSからの移行が困難な場合がある。これにより、特定の技術に対するロックインの可能性が警告されている[6]。
IPアドレス
最初に、ユーザはVPC用に一連のIPアドレスを選択することができる。 この範囲内では、インターネットやその他のVPCのインスタンスと通信するために、VPC内のインスタンスに様々なプライベートおよびパブリックのIPv4およびIPv6アドレス[8] を割り当てることができる。 これらのアドレスは、ユーザーのVPCアカウント全体ではなく、特定のインスタンスに割り当てられる[9]。パブリックIPアドレスの静的割り当ては不可能だが、その代わり場合によってはアドレスの割り当て・割り当て解除によりインスタンスのアドレスが変更される。 一貫したIPアドレスが必要な場合は、パブリックIPアドレスの代わりに第3のタイプのIPアドレスであるElastic IPアドレスを使用できる[9]。
接続性
AWS VPCは、ユーザーがインターネット、ユーザーの企業データセンター、および他のユーザーのVPCに接続できるようにする[8]。
インターネット
VPCは論理的に隔離されており、設定されたインターネットアクセスのみを許可することで高いセキュリティを確保できる。
Amazon VPCは内部IPアドレスからなるプライベートネットワークで構成されている。インスタンスは内部IPアドレスと同時にパブリックIPv4アドレスを割り当て可能であり、VPCへインターネットゲートウェイをアタッチし、サブネットのルートテーブルへインターネットゲートウェイへのルートを追加することで、パブリックIPアドレスを持つインスタンスがインターネットに接続できる[10]。
Amazon VPC サブネットは以下の2つに分類される[11]。
- パブリックサブネット: トラフィックがインターネットゲートウェイにルーティングされる
- プライベートサブネット: トラフィックがインターネットゲートウェイにルーティングされない
パブリックサブネットのインスタンスはインターネットゲートウェイからインターネットへ接続されているため、サブネットからインターネットへのアクセス(アウトバウンド接続)とインターネットからサブネットへのアクセス(インバウンド接続)が可能になる。プライベートサブネットではインターネットとの入出力が不可能だが、NATゲートウェイを用意することでインスタンスからインターネットへのアウトバウンド接続のみを許可することができる[12]。
パブリックサブネットインスタンスであっても、ホワイトリスト型ネットワーク制御である Security Groups を用いて細やかなアクセス制御が可能である。例えばアウトバウンドのみを許可することで外部へは接続できるが外部からは接続されないパブリックサブネットインスタンスを設定できる。
デフォルト設定では
- ルートテーブル: 0.0.0.0/0 = IGW
- セキュルティグループ: egress-only (all outbound OK, intra-SG inbound only OK)
- インスタンス: elasticIPv4割り当て、デフォルトSG割り当て
となっている。
外部サービス
ユーザーは、データセンターとVPC間のハードウェアVPN接続を設定することで、データセンターに接続することができる。 この接続により、ユーザーは「VPC内のAmazon EC2インスタンスと[ユーザーの]既存のネットワーク内であるかのようにやりとりできる」[8]。
VPC
ユーザはプライベートIPアドレスを使用して1つのVPCから別のVPCにトラフィックをルーティングでき、同じネットワーク上にあるかのように通信できる。 ピアリングは、同じアカウントの2つのVPC間のルートまたは同じ地域の異なるアカウントの2つのVPCを接続することで実現できる。 VPCピアリングは1対1の接続であるが、ユーザは一度に複数のVPCに接続できる[13]。
プライバシー
AWS VPCのセキュリティは2つ存在する。第1に、AWS VPCはセキュリティグループをファイアウォールとして使用してトラフィックをインスタンスレベルで制御し、ネットワークアクセス制御リストをファイアウォールとして使用してサブネットレベルでトラフィックを制御する[14]。 AWS VPCは、第2の手法として、ハードウェア上に「専用インスタンス」を作成し、専用インスタンスを非専用インスタンスや他のアカウントが所有するインスタンスから物理的に隔離する機能を提供する[15]。
AWS VPCは無料でユーザーはEC2リソースの使用量を支払うだけである。 しかし、VPN経由でVPCにアクセスする場合は、料金が発生する。
関連項目
参考文献
外部リンク
|
|---|
製品 ·
サービス |
| ウェブサイト | |
|---|
| クラウド | |
|---|
| デジタル | |
|---|
| デバイス | |
|---|
| 技術 | |
|---|
| 出版 | |
|---|
| 小売 | |
|---|
| 映画 | |
|---|
| 物流 | |
|---|
| ヘルスケア | |
|---|
| 過去 | |
|---|
| |
|---|
| 人物 |
|
|---|
| 施設 | |
|---|
| その他 | |
|---|
|
|
