コンテンツにスキップ

AWS VPN

1. サービス概要

AWS VPN は、オンプレミスネットワークと AWS クラウドの間で、セキュアな接続を確立するためのサービスである。
ユーザーは、インターネット経由で暗号化されたトンネルを構築し、オンプレミス環境と AWS クラウド環境を安全に接続できる。
AWS VPN は、ハイブリッドクラウド環境の構築、リモートアクセス、データ転送などを安全に行うための、柔軟性と可用性を提供する。

主なユースケースとして、

  • オンプレミスネットワークと AWS VPC の接続
  • リモートワーカーのアクセス
  • データセンターの AWS への拡張
  • 災害復旧
  • パートナーネットワークとの接続

などが挙げられる。
AWS VPN は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能

2.1 サイト間 VPN (Site-to-Site VPN)

オンプレミスネットワークと AWS VPC を、IPsec プロトコルを利用した暗号化されたトンネルで接続する。
これにより、セキュアなハイブリッドクラウド環境を構築できる。

2.2 VPN CloudHub

複数のオンプレミス拠点を AWS と接続する場合に、ハブアンドスポーク型でネットワークを構成できる。
これにより、複数のオンプレミスネットワークと AWS 間の接続をシンプルに管理できる。

2.3 クライアント VPN (Client VPN)

リモートワーカーが AWS リソースにセキュアにアクセスするための VPN 接続を提供する。
これにより、どこからでも AWS 環境に安全に接続できる。

2.4 柔軟なトンネルオプション

VPN 接続は、トンネルの暗号化、認証方式、事前共有キーなどをカスタマイズできる。
これにより、ユーザーのセキュリティ要件に合わせて、VPN 接続を構成できる。

2.5 複数の接続オプション

静的ルーティング、動的ルーティング (BGP) など、複数のルーティングオプションを提供している。
これにより、ネットワークの構成に合わせて、最適なルーティング方式を選択できる。

2.6 高い可用性

複数の仮想プライベートゲートウェイ (VGW) やカスタマーゲートウェイ (CGW) を構成することで、VPN 接続の冗長性を確保できる。
これにより、可用性の高い接続を維持できる。

2.7 統合性と拡張性

AWS VPN は、Amazon VPC, AWS Direct Connect, AWS Transit Gateway, AWS CloudFormation などの AWS の他のサービスと密接に統合されている。
また、API を利用して、VPN 接続の管理や自動化を行うこともできる。

3. アーキテクチャおよび技術要素

  1. ユーザーは、AWS VPC 内に仮想プライベートゲートウェイ (VGW) を作成。
  2. オンプレミス環境にカスタマーゲートウェイ (CGW) を設定。
  3. VGW と CGW の間で、IPsec トンネルを確立。
  4. VPN 接続は、暗号化されたトンネルを通じて、オンプレミスネットワークと AWS ネットワーク間でトラフィックをルーティング。
  5. 必要に応じて、VPN CloudHub を利用して複数の拠点を接続。

AWS VPN は、インターネット経由でオンプレミス環境と AWS クラウド間をセキュアに接続するための、仮想プライベートネットワークを提供する。
VPN 接続の設定や管理は AWS が行うため、ユーザーはインフラの管理を行う必要はありません。

4. セキュリティと認証・認可

AWS VPN は、データ転送のセキュリティを確保するために、以下の機能を提供する:

  • IPsec 暗号化: VPN トンネルは、IPsec プロトコルを使用して暗号化される。
  • 認証: 事前共有キーや証明書を使用して、VPN 接続を認証。
  • VPC 内での実行: 接続先の VPC は Virtual Private Cloud (VPC) 内で実行され、ネットワーク隔離を実現。
  • アクセス制御: IAM ポリシーを通じて、ユーザーやグループごとに、VPN 接続の操作権限を詳細に制御できる。

これらのセキュリティ対策により、オンプレミス環境と AWS クラウド間のデータ転送を安全に保護し、機密情報を保護できる。

5. 料金形態

AWS VPN の料金は主に以下に基づく:

  • VPN 接続時間: VPN 接続の利用時間に応じて課金。
  • データ転送: VPN 接続を通過するデータ転送量に応じて課金。
  • Accelerated Site-to-Site VPN: 接続の高速化機能を利用した場合、追加料金が発生。

6. よくあるアーキテクチャ・設計パターン

AWS VPN は、様々なネットワーク接続シナリオに対応できる。一般的なパターンは以下の通りである:

  • オンプレミスネットワークと AWS VPC の接続: オンプレミス環境と AWS VPC の間で、セキュアなネットワーク接続を確立。
  • リモートワーカーのアクセス: リモートワーカーが自宅や外出先から、AWS リソースにセキュアにアクセス。
  • データセンターの AWS への拡張: データセンターのインフラを AWS クラウドに拡張し、ハイブリッドクラウド環境を構築。
  • 災害復旧: オンプレミス環境のデータを AWS にバックアップし、災害発生時に AWS でアプリケーションを復旧。
  • パートナーネットワークとの接続: パートナー企業とのネットワークを接続し、データ共有や連携を安全に行う。

7. 設定・デプロイ手順 (ハンズオン例)

  1. AWS マネジメントコンソールから AWS VPN を開き、仮想プライベートゲートウェイ(VGW)を作成。
  2. オンプレミスルーターの情報を登録し、カスタマーゲートウェイ(CGW)を作成。
  3. VGW と CGW 間の VPN 接続を作成。
  4. トンネルの設定(事前共有キーなど)を確認し、オンプレミスルーターに設定。
  5. VPN 接続が確立したことを確認し、AWS リソースへの接続をテスト。

8. 試験で問われやすいポイント

8.1 サイト間 VPN (Site-to-Site VPN)

  • 機能: オンプレミスネットワークと AWS VPC を IPsec トンネルで接続。
  • 目的: セキュアなハイブリッドクラウド環境を構築。
  • 試験対策: Site-to-Site VPN の利用ケース、接続方式が問われる。

8.2 VPN CloudHub

  • 機能: ハブアンドスポーク型でネットワークを構成し、複数のオンプレミス拠点を AWS と接続。
  • 利用: 複数拠点の接続をシンプルに管理。
  • 試験対策: CloudHub のメリット、利用ケースが問われる。

8.3 クライアント VPN (Client VPN)

  • 機能: リモートワーカーが AWS リソースにセキュアにアクセス。
  • 利用: どこからでも AWS 環境に安全に接続。
  • 試験対策: Client VPN の利用方法、セキュリティが問われる。

8.4 柔軟なトンネルオプション

  • 設定項目: 暗号化、認証方式、事前共有キー。
  • 目的: ユーザーのセキュリティ要件に合わせて VPN 接続を構成。
  • 試験対策: トンネルオプションの設定、セキュリティが問われる。

8.5 料金体系

  • 課金対象: VPN 接続時間、データ転送量、Accelerated VPN (利用時)。
  • 最適化: 不要な接続の削除、データ転送量の削減がコスト削減に有効。
  • 試験対策: 料金体系、課金対象が問われる。

8.6 類似・関連サービスとの比較

  • AWS Direct Connect: 専用線接続を提供するサービス。VPN はインターネット経由の接続。
  • AWS Transit Gateway: 複数の VPC とオンプレミスネットワークを接続するためのハブ。VPN と組み合わせて利用可能。

8.7 試験で頻出となる具体的な問われ方と答え

  • Q: AWS VPN は何を提供するサービスですか?
  • A: オンプレミスネットワークと AWS クラウドの間で、セキュアな接続を確立するためのサービスである。
  • Q: AWS VPN のサイト間 VPN は、どのようなプロトコルを使用しますか?
  • A: IPsec プロトコルを利用した暗号化されたトンネルを構築する。
  • Q: AWS VPN の Client VPN は、どのような用途に適していますか?
  • A: リモートワーカーが AWS リソースにセキュアにアクセスするために適している。
  • Q: AWS VPN で複数のオンプレミス拠点を接続する場合、どのように接続を管理できますか?
  • A: VPN CloudHub を利用して、ハブアンドスポーク型でネットワークを構成できる。
  • Q: AWS VPN の料金はどのように計算されますか?
  • A: VPN 接続の利用時間、データ転送量などに基づいて計算される。