目次
AWS VPNとは
AWS VPNとは、仮想の専用回線を用いてセキュアな通信を可能にするAWSのサービスの1つです。AWS環境内のリソースである、Amazon Virtual Private Cloud(Amazon VPC)にVPN Gatewayを構築し接続します。
AWS VPNを利用すると、オンプレミスネットワーク、リモートオフィス、クライアントデバイスからAWSのグローバルネットワークに対して、安全な接続ができます。
VPNとは
VPN(Virtual Private Network)とは、「仮想専用回線」と訳され、インターネット上に仮想的なプライベートネットワーク(専用回線)を構築する技術です。
セキュリティ上の安全な経路を使って重要なデータのやり取りができ、データの改ざんや盗聴の脅威から情報を守ることができます。
また、外出先などから自宅や社内システムへ安全にアクセスしたり、企業の拠点間の通信に使用されています。
AWS VPNの接続方法
AWS VPNの接続方法にはAWS Client VPN、AWS サイト間 VPN、AWS VPN CloudHubの3つの方法があります。ほかにはサードパーティー製ソフトウェア VPNアプライアンスを利用し、VPNを構築することも可能です。
ここではAWS Client VPNとAWS サイト間 VPNについて、詳しくご紹介します。
AWS Client VPN
AWS Client VPNは、TLSトンネルを使用して、AWS環境内のリソース(Amazon VPC)に安全にアクセスできます。VPC上にクライアント VPN エンドポイントを作成することで、PCやモバイルデバイスとVPCの間でVPNを構築します。
PCなどのクライアントは、OpenVPNベースのクライアントアプリケーションを利用し、VPNセッションを構築します。次はOpenVPNについて見ていきましょう。
OpenVPNを使用
OpenVPNはオープンソースで開発されている、VPNを構築するためのアプリケーションです。クライアント VPN エンドポイントの設定ファイルをOpenVPNクライアントアプリケーションにインポートして、VPN接続します。
OpenVPNはさまざまなプラットフォームで利用でき、あらゆるデバイス(Windows、Mac、iOS、Andoroid、Linux)でAWSにアクセスできます。
AWS サイト間 VPN
AWS サイト間 VPNを設定することで、VPCとAWSの外にあるオンプレミスネットワークとの接続ができます。IPsec VPN通信を使って暗号化されたVPNトンネルを構築でき、支店などの拠点で利用可能です。
また、AWSサイト間VPNを利用するためにはVPN対応ルーターが必要になり、AWSサイトからルーターの設定ファイルをダウンロードすることでVPNを構築できます。
AWS Client VPNの構築方法2つ
ここではAWS Client VPNの構築方法について、クライアント VPN エンドポイントを作成し、VPN接続を構築するまでを解説しています。
認証には「Active Directoryによるアカウント管理」、「サーバ証明書・クライアント証明書による相互認証」、「その両方」 を利用できますが、相互認証の方法をご紹介します。
AWS Client VPNの構築方法1:クライアント VPN エンドポイントの作成
まず、サーバ証明書・クライアント証明書を作成し、AWS Certification Manager (ACM)に登録します。次にAmazon VPCコンソールでクライアントVPNエンドポイントを作成し、ACMに登録した証明書を選択します。
最後に、クライアントVPNエンドポイントをVPCのサブネットに紐づけます。すると、紐づけたサブネットにクライアントVPNエンドポイントのENIが作成されます。
AWS Client VPNの構築方法2:クライアント VPN エンドポイントへの接続
Amazon VPC コンソールで、サブネットが存在するVPCへのアクセスを承認するために、クライアントPCからVPC内のどのIPレンジへの通信を許可するか、CIDR形式で許可します。
最後に、クライアント用のVPN エンドポイント設定ファイルとクライアント証明書、証明書の秘密鍵を設定ファイル用フォルダに配置し完了です。
これによって、クライアントアプリケーションからVPNを構築できるようになります。
AWS Client VPNを導入するメリット3つ
ここではAWS Client VPNを導入するメリットを「セキュリティに強い」、「障害に強い」、「互換性がある」という3点についてご紹介します。
ほかには、ルーターなどのハードウェアを利用した環境構築が不要なため、設備投資が不要な点や、VPN同時接続数を機器に制限されないという点もメリットです。それでは詳しく解説します。
AWS Client VPNを導入するメリット1:セキュリティが高い
仮想の専用回線を利用したVPNは一般のインターネット回線と異なり、暗号化された通信環境を構築します。
そして、AWS Client VPNは安全性の高いTLS VPNトンネルプロトコルを使用しているため、重要なデータを盗聴や改ざんのリスクから守ることが可能です。
また、セキュリティグループを使用したり、Active Directory認証を利用することで、柔軟なアクセス制御環境を構築できます。
AWS Client VPNを導入するメリット2:障害に強い
AWS Client VPNは障害に強いこともメリットです。クライアント VPN エンドポイント設定では複数のサブネットを紐づけることができます。
異なるアベイラビリティゾーンに存在する複数のサブネットを紐づけておくことで、一方のアベイラビリティゾーンで障害が起きても、クライアントは別のアベイラビリティゾーンを利用できるのです。
AWS Client VPNを導入するメリット3:互換性がある
AWS Client VPNは、OpenVPNに互換性があるクライアントアプリケーションを使用できます。また、OpenVPNはWindows、Mac、iOS、Android、Linuxで利用可能です。
そのため、利用者はPCだけでなく、スマートフォンやタブレットなど、さまざまなデバイスを選択し、AWSへアクセスすることが可能になります。
VPNはリモートワークに適している?
リモートワークによって、移動時間を短縮して業務時間を確保するなど、多様な働き方が広がっています。また業務の効率化のため他社との協業を進めるうえで、他社からのリモートアクセスが必要な場合も増えてきました。
AWS Client VPNは、セキュリティグループを利用し、必要なアプリケーションしか接続を許可させないこともできるため、リモートワークに適していると言えます。
AWS Client VPNにかかる費用
AWS Client VPNには2種類の費用が発生します。1つ目は、エンドポイントがVPN接続した時間に応じて発生し、1時間あたり0.15USDです。2つ目は、クライアントがVPN接続した時間に応じて発生し、1時間あたり0.05USDとなっています。
これから具体例をご紹介いたします。上記料金は東京リージョンを使用した場合の2020年の8月の情報ですので、最新の料金はAWSの公式サイトでご確認ください。
1台あたりの費用
例として、東京リージョンにAWS Client VPNエンドポイントを構築し、サブネットを1つ紐づけ、1台のデバイスで1時間利用した場合は以下のようになります。
エンドポイント料金は0.15USD×1サブネット×1時間=0.15USDで、Client VPN接続料金は0.05USD×1台×1時間=0.05USDなので、合計で0.20USDとなります。
1ヶ月あたりの費用
1か月30日とし、エンドポイントは1か月間常にアクティブとします。接続するデバイスは、会社の営業日のみとして20日間、1日あたり8時間利用したとします。
エンドポイント料金は0.15USD×1サブネット×24時間×30日=108USDで、Client VPN接続料金は0.05USD×1台×8時間×20日=1台あたり8USDです。利用したデバイスの分だけClient VPN料金が加算されます。
AWS Client VPNを導入しよう
企業や組織がネットワーク上で重要なデータをやり取りする際には、セキュアな通信が必要です。AWS Client VPNは、自宅や外出先など場所を選ばずにAWSへセキュアにアクセスできます。
また、AWS Client VPNは重量課金制のマネージドサービスです。VPNを構築するための機器を購入する費用や、運用費をおさえて構築できます。ぜひ導入を検討してみてはいかがでしょうか。