AWS環境へのアクセス手段として踏み台サーバーを構築するメリットとデメリット

踏み台サーバーとは？

AWSでサーバーを構築していると「踏み台サーバー」という表現をよく見かけます。いったい何のためにこのようなサーバーが必要なのでしょうか。

この記事では、踏み台サーバーの基礎知識、他の手段と比較したメリットやデメリットを紹介します。

踏み台サーバーの基礎知識

踏み台サーバーを適切に構築すれば、EC2インスタンスを外部に公開しなくても安全に接続できるようになります。

踏み台というとなんだか怖い響きですが、英語での表現は「bastion」つまり要塞です。サーバーを守るVPCを「壁」と考えると、踏み台サーバーはその出入り口である「門」となり、組み合わせて要塞のような安全なAWS環境を構成する事が目的となります。

踏み台サーバーが必要になるシーン

セキュリティの観点からいえば、AWS VPC内に構築されたサーバー群は外部への公開は避けたいものです。

ウェブサーバーのようにその役目上インターネットからアクセスできるようにしておかなければならないサーバーは仕方がないとして、データベースのような非公開サーバーであったとしても、メンテナンスのために外部から接続したいという事情も出てくるでしょう。

このように「接続したいけれど接続させたくない」という相反する要求を実現するのが踏み台サーバーです。

踏み台サーバーのメリット

踏み台サーバーを構成すれば、セキュリティ要件の変動に対して柔軟性が高くなり大規模環境での管理コスト増加を抑えられます。

外部からAWS環境へのアクセスはすべて踏み台サーバーを経由するため、接続元の検証や制限、SSH秘密鍵の保管、接続や操作のログ取得といった接続管理を一元化できます。踏み台サーバーのインスタンスを停止してしまえば外部からのアクセスを遮断できるという強みもあります。

VPC内のEC2インスタンスのパブリックIPアドレス管理も不要になるため、サーバー台数が増加しても管理コストが膨らみにくいのもメリットです。ただし、アプリケーション側でパブリックIPアドレスに依存しない構成にしておく事も重要です。

踏み台サーバーのデメリット

起動中はサーバー利用料金が発生し、踏み台サーバー自体の管理が必要となる点はデメリットといえます。踏み台サーバーという名前ですが実体は普通のEC2インスタンスです。

接続を経由するためのサーバーなので、低スペックのインスタンスでも問題がないケースが多いとはいえ、少なからず料金は発生してしまいます。同時接続やデータ送受信のパフォーマンスについては、事前にテストしておいた方が良いでしょう。

また接続管理を集約するという事は、踏み台サーバー自体にトラブルが発生した際の影響も大きいという事を意味します。事前に予備の接続手段を用意しておく必要性も考慮してください。

セキュリティグループとの比較

サーバー（EC2インスタンス）へのアクセスを制限する機能といえば、AWSセキュリティグループを思い浮かべる方も多いのではないでしょうか。

踏み台サーバーと比較したセキュリティグループのメリット・デメリットを紹介します。

セキュリティグループのメリット

小規模な構成であったり固定的な管理ができる環境であれば、踏み台サーバーよりもセキュリティグループを使用した方が手間とコストを削減できる可能性が高くなります。

接続元IPアドレスやプロトコルによる制限はセキュリティグループでも実現できます。セキュリティグループはAWSが標準で提供している機能であるため設定も簡単です。わざわざサーバーを構築せずに使用できるのがセキュリティグループのメリットです。

セキュリティグループのデメリット

外部からのAWSへの接続制限にセキュリティグループのみで対応する場合、状況によっては困った事になるケースもあります。

小規模構成では手軽で使いやすいセキュリティグループですが、台数が増えてくるとデメリットも目立ち始めます。EC2インスタンスへの接続に必要なパブリックIPアドレスの管理対象が多くなれば、管理の手間も増大していきます。

セキュリティグループの仕様が足かせになるケースもあります。同一のセキュリティグループを適用しているサーバー群があり、システムの都合で一部のサーバーにだけ変則的なアクセスルールを適用したいといった状況を考えてみましょう。

セキュリティグループは一度EC2インスタンスに関連付けすると後から別のセキュリティグループへ変更する事ができません。そのため、アクセスルールの追加変更のためにインスタンスをコピーして付け替えるといった手間が発生してしまいます。

AWS VPNとの比較

オンプレミス向け技術というイメージのあるVPNですが、AWSもVPNをサポートしています。

いくつかあるVPNの選択肢の中から比較的身近なClient VPNについて紹介します。

VPNのメリット

Client VPNを使うと、クライアントからVPCに直接接続できます。接続時の認証は一般的な証明書を利用する方法の他、より複雑なアクセス制御に対応できるActive Directory認証も対応可能です。

ADによる一括管理ができれば、セキュリティ要件の縛りによってAWSなどのクラウドコンピューティングを使いにくい組織でも対応できる可能性が高まります。

VPNのデメリット

AWS Client VPNはエンドポイント使用だけでなく接続時間・接続数に応じて料金が発生します。どちらも料金自体は比較的安価ですが、接続料金については1時間が最小課金単位である事、また接続数に応じて料金計算される事に注意が必要です。

仕組み上、拠点間接続のような使い方であれば比較的料金は見積もりしやすいのですが、近年急増しているテレワークといった使い方の場合、短時間・多接続となるパターンが多く、予想以上に料金がかさむ可能性もあります。

AWSセッションマネージャーとの比較

AWSにはSystem ManagerというEC2サーバーのインフラ管理用サービスが存在します。その機能群中でリモートアクセスを扱うセッションマネージャーが、2019年後半のアップデートでクライアントサーバー間のSSHトンネリングをサポートするようになりました。

AWS上で提携されるサービスのため、踏み台サーバーの構築よりも体系的な接続管理が可能となります。

各種制約事項があり環境に依存するため、既に稼働している踏み台サーバーを単純に置き換えられる訳ではありません。しかし、踏み台サーバー本体の障害をカバーするための手段としても検討の価値はあります。

セッションマネージャーのメリット

セッションマネージャーを活用すれば、セキュリティグループ設定や踏み台サーバー構築といった対応をせずにEC2に直接SSH接続が可能となります。

セキュリティグループであればインバウンド許可の変更、踏み台サーバーであればユーザーの追加やSSH秘密鍵の受け渡しといった手動の操作が必要でしたが、セッションマネージャーではこれが不要になります。

IAMを利用した権限管理が可能となる他、ロギングも可能で他のAWSサービスと連携させられるというメリットもあります。

セッションマネージャーのデメリット

セッションマネージャーを使用するためには環境上の前提条件があります。

またユーザー側としてもAWSのIAMを理解する必要があり、EC2側にSSMエージェントをインストールする必要性もある等、導入にはそれなりの手間が必要となります。

踏み台サーバーを活用しよう！

今回はAWS上で踏み台サーバーを構築するための基本的な考え方をお伝えしました。踏み台サーバーをうまく活用すればEC2サーバーへのセキュアなアクセスを実現できるだけでなく、運用管理のコストを低減させる事ができます。

セキュリティ関連の常識は比較的短いサイクルでアップデートされる事項です。踏み台サーバーを構築した後も定期的に構成を見直すようにしてください。