AWS VPN Gatewayとは｜AWS Transit Gatewayのメリット4選など紹介

AWS VPN Gatewayを使う前に知っておきたいこと

AWSはアマゾン ウェブ サービスのクラウドサービスを世界中で広く採用され、世界中のデータセンターから175以上のフル機能サービスを提供しています。

サービスの1つにAWS VPN Gatewayがあります。クラウドネットワークサービスを利用するにあたりセキュリティ面の構築は重要です。

このAWS VPN Gatewayはどのような特徴をもっているのかお話します。まず最初に、そもそもVPNとは何か、Gatewayについてお伝えします。

そもそもVPNとは？

VPNとは、Virtual Private Networkの略称で、仮想の空間で専用回線をつなぐことで情報漏洩を防ぐセキュリティ向上に役立つ機能です。

公衆のFree Wifiやワイヤレス通信など容易に使用ができる反面、誰にでもアクセスされる可能性が高い空間になります。

VPNの設定がなくてもネットワーク接続は可能で、一見問題なく使うことはできます。しかし第三者に閲覧情報やデータをコピーされていても気づきにくいところが盲点です。

そのためVPNを設定し、発信元、アクセス先、内容など情報を保護することができます。セキュリティ対策として個人、法人関係なく取り入れることで情報漏洩を防ぐ環境を構築できるのです。

Gatewayとは？

Gatewayとは、それぞれ機器やソフトウエアなどネットワーク上で異なる2つのネットワークを中継する入口、接続ポイントのことです。

Gatewayは通信のルールや規格（プロトコル）を変換し異なる通信ルールや規格を用いたネットワークをつなげる対応ができます。

Gatewayは「GW」や「G/W」などの略号で表記される場合があります。

AWS VPN GatewayのAWS VPNとは？

AWS VPN Gatewayの機能を提供するAWSクラウドサービスのVPNとは、どのようなものなのかお伝えします。

AWSの提供するVPN機能について簡単にご紹介します。

AWS VPNの特徴

AWS VPNはAWS Virtual Private Networkソリューションのことをいいます。クライアントデバイス、オンプレミスサーバー、リモートオフィスなどで利用するAWS間のネットワーク接続を専用接続を確立する機能です。

AWS VPNは「AWS サイト間 VPN(AWS Site-to-Site VPN)」と「AWS Client VPN」で構成されています。

AWS VPN Gateway｜AWS VPCとAWS VPNの構成

AWS VPN Gatewayに使われるAWS VPCとAWS VPNはどのような接続構成になるのかについてお話します。

AWS VPC（Amazon Virtual Private Cloud）はAmazon EC2のネットワークレイヤーで、VPCとリモートネットワーク間で、IPsecおよびVPN接続を作成します。

AWS VPNは「AWS サイト間 VPN」と「AWS Client VPN」で構成され、オンプレミスネットワークやリモートオフィスやデバイスなどもAWSネットワーク環境を安全に接続ができます。

AWS サイト間 VPN(AWS Site-to-Site VPN)とは

AWS サイト間 VPN（AWS Site-to-Site VPN）は、AWSクラウド間とデータセンターや各拠点を、IPセキュリティトンネル経由でクラウドで展開するため、AWS Transit Gateway仮想プライベートゲートウェイへ接続環境を構築できます。

IPSecトンネル状にオプションのBGP（ボーダーゲートウェイプロトコル）を実行することで高可用性の環境を構築することもできます。

オンプレミスの社内ネットワーク機能とAWSのVPC（Amazon virtual private cloud）空間やAWS Transit Gatewayの間に暗号化した接続を作成します。

グローバルに分散したアプリケーションを活用する場合は、AWS Global Acceleratorを連携するとAWS VPNの空間を高速化するオプションの利用ができます。

AWS Client VPNとは

AWS Client VPNは、インターネット環境に接続またOpen VPNに互換性のあるクライアントを使用することでアクセスができます。

オンプレミスネットワークやAWS VPNを利用するユーザー需要をもとに自動的にスケールアップまたはスケールダウンの調整が可能なフルマネージド型のVPN機能です。

AWS Client VPNは1つのコンソールでシステムの入出力機能を制御します。ユーザーは単一のVPN機能から、AWSやオンプレミスネットワークに接続できます。

AWS VPN Gateway｜AWS Transit Gateway とは

AWS Transit Gateway は、AWS VPCとVPNの間の動的および静的レイヤー（機能階層）3ルーティング（送信元から送信先に情報を送信する最適なルートを経由し転送）をサポートしています。

AWS VPN Gatewayに関するAWS Transit Gatewayの特徴を簡単にお伝えします。

AWS Transit Gateway（トランジットゲートウェイ）の特徴

AWS Transit Gateway（トランジットゲートウェイ）は オンプレミスネットワークと中央ハブを介してAWS VPC接続ができます。

ネットワーク接続が簡素化され、クラウドルーターとして機能します。

AWSアカウント間で機能し、AWS Resource Access Managerを使用してトランジットゲートウェイを他のアカウントと共有できます。自動的に暗号化されます。

トランジットゲートウェイは、同じリージョンに VPC（Amazon Virtual Private Cloud）とVPN接続をアタッチして、それらの間でトラフィックをルーティングできます。

AWS VPN Gateway｜AWS Transit Gatewayのメリット4選

AWS Transit Gatewayのメリットは、大きく4つあり要点をお伝えします。まず1つ目は、簡単に接続が可能だということ。

2つ目は、可視性とコントロールを向上できること。3つ目はセキュリティ面の強化を図れること、4つ目は柔軟に同じコンテンツを複数の送信先に対して配信が可能です。

メリット1：接続が容易にできる

AWS Transit Gatewayは接続が簡単にできネットワーク構築を簡素化できます。

グローバルアプリケーションを構築するときはリージョン間ピア接続を使用しAWS Transit Gatewayを接続が可能です。

メリット2：制御と監視

AWS Transit Gateway network managerを使用するとAmazon VPCとエッジ接続を中央コンソールから簡単に監視します。

AWS Transit Gateway network managerで一般的なSD-WANデバイスと統合した時に、トラブル制御をして対応することができます。

メリット3：セキュリティ

AWS Transit GatewayとAWS VPCの間のAWS グローバルプライベートネットワーク上で、パブリックインターネット上に公開されないのでセキュリティ環境の向上ができます。

AWS Transit Gatewayのリージョン間でピア接続は単一障害や帯域のトラフックを暗号化し、DDoS（分散型サービス拒否）攻撃やその他の一般的な悪用から保護します。

メリット4：マルチキャスト

AWS Transit Gatewayマルチキャストサポートとは、複数の特定送信先に1つのコンテンツを配信します。オンプレミスのマルチキャストネットワークが不要です。

ビデオ会議やメディア、電話会議などアプリケーションに必要な帯域幅がシンプルにできます。

AWS VPN Gateway｜カスタマーゲートウェイデバイスとは

AWS VPN GatewayのカスタマーゲートウェイデバイスとはAWS Site-to-Site VPＮ接続のユーザー側で管理する物理アプライアンスやソフトウエアアプライアンスのことです。

AWS Site-to-Site VPN（AWS サイト間 VPN）とは

AWS Site-to-Site VPN接続は、AWS Classic VPNまたはAWS VPNのことです。

AWS Site-to-Site VPN8（AWSサイト間VPN）の構成は、リモートのオンプレミス側のカスタマーゲートウェイのVPN デバイスとAWS側のトランジットゲートウェイまたは仮想プライベートゲートウェイの間に2つのVPNトンネルを提供する機能です。

AWS VPN接続制限があり、パスMTU検出をサポートしていませんので考慮する必要があります。それとIPv6トラフィックは仮想プライベートゲートウエイのVPN接続についてサポートしていませんので注意しましょう。

AWS公式サイトで勧めていることがあります。それはVPC共通のオンプレミスネットワーク接続時に、ネットワークに重複しないCIDRブロックを使用するよう考慮しましょう。

仮想プライベートゲートウェイとは

仮想プライベートゲートウェイとは、AWS Site-to-Site VPN接続のAmazon側にあるVPN コンセントレータです。複数のカスタマーゲートウエイからVPN接続を受け付けることができます。

仮想プライベートゲートウェイを作成し、AWS Site-to-Site VPN 接続を作成するVPCにアタッチします。

通常のVPN接続と同じようにカスタマーゲートウェイには静的なグローバルIPアドレスと仮想プライベートゲートウェイのグローバルIPアドレスへ経路が必要です。

仮想プライベートゲートウェイは10までのハードウェアVPNと接続をすることができます。それと1つのAWS VPCに作成できる仮想プライベートゲートウェイは1つのみという制限があります。

AWS VPN Gateway｜AWS Direct Connect Gatewayとは

AWS Direct Connect Gatewayとは、VGW（仮想プライベートべートウェイ）とVIF（プライベート仮想インターフェイス）をグループ化する機能で、Direct Connectゲートウェイのあらゆるリージョンにアクセスでき、グローバルに利用可能な機能です。

AWS Direct Connectの特徴

AWS Direct Connectは、ユーザーのネットワークとAWS Direct Connectのロケーション間に専用のネットワーク接続を802.1q VLANを使用して複数の仮想インターフェイス分割をして確立します。

パブリック環境とプライベート環境はVPC（AWS Virtual Private Cloud）内の間でネットワークを分離できます。

AWS VPN Gateway｜AWS VPN CloudHub機能

AWS VPN CloudHubはハブアンドスポークモデル（拠点経路数でネットワークの形成が可能）です。

単一の仮想プライベートゲートウェイを作成し、複数のカスタマーゲートウェイを動的にAWS Site-to-Site VPN接続を作成する流れで接続します。

AWS VPN CloudHubできることは？

AWS VPN CloudHubを使用することで、複数のSite-to-Site VPN接続がある場合はAWS VPNCloud Hub間の安全な通信をすることができます。

リモートサイトを有効にすることで、相互に通信しVPC有無にかかわらず使用できるシンプルな動作をします。

まとめ

今回はAWS VPN Gateweyについてお伝えしました。クラウドネットワークサービスは便利な分、セキュリティ環境の構築が大切です。

AWS VPN Gatewayの機能をどのように構築してVPNを接続するかについて、それぞれの機能をご紹介しました。使用料金については公式AWSサイトで試算をして検討しましょう。

AWS VPN Gateweyを理解する以外にもデータサーバのセキュリティ構築などセキュリティ面の環境を整え使用しましょう。