Amazon Virtual Private Cloud

Amazon Virtual Private Cloud
	Amazon Virtual Private Cloud
作者	Amazon.com
開発元	Amazon.com
初版	2009年9月25日 (15年前)
対応OS	Microsoft Windows; Linux; FreeBSD;
対応言語	英語
サポート状況	アクティブ
種別	バーチャル・プライベート・サーバ
ライセンス	プロプライエタリソフトウェア
公式サイト	aws.amazon.com/vpc/
	テンプレートを表示

Amazon Virtual Private Cloud (VPC) は、Amazon Web Services (AWS) クラウドの論理的に分離されたセクションをプロビジョニングすることで、ユーザーに仮想プライベートクラウドを提供する商用クラウドコンピューティングサービス^[1]。企業顧客は、IPsecベースの仮想プライベートネットワーク(VPN)を介してAmazon Elastic Compute Cloud（EC2）にアクセスできる^[2]^[3] 。Amazonにより内部および外部IP番号を割り当てられていた従来のEC2インスタンスとは異なり、顧客は1つまたは複数のサブネットから選択したIP番号を割り当てることができる^[4] 。VPCは、公開されているAWSリソースと非公開のAWSリソースを選択できるオプションを提供することにより、セキュリティをより細かく制御できる。 Amazonの場合、これは「ハイブリッドアプローチの裏付けであるが、プライベートクラウドへの関心の高まりに対抗するためのものでもある」^[5]

プライベートクラウドとの比較

Amazon Virtual Private Cloudは、OpenStackやHPE Helion Eucalyptusなどの技術を使用して、プライベートクラウドと同様のサービスを提供することを目的としている。しかし、プライベートクラウドは、通常、OpenShiftアプリケーションホスティングやさまざまなデータベースシステムなどのテクノロジーも使用する。クラウドのセキュリティ専門家は、社内システムには存在しない公共リソース ^[6] を使用する際には制御不能やサービスの中断など、コンプライアンス上のリスクが存在する可能性があると警告している。ナショナルセキュリティレターを使用してVPCについてAmazonから取引記録を要求された場合でも、顧客にシステムのセキュリティ違反を知らせることは合法的に許可されないことさえある。これは、実際のVPCリソースが他の国にあったとしても当てはまる^[7] 。AWSで使用されるAPIは、HPE Helion EucalyptusのAPIと一部互換性があるだけで、他のプライベートクラウドシステムと互換性がないため、AWSからの移行が困難な場合がある。これにより、特定の技術に対するロックインの可能性が警告されている^[6]。

IPアドレス

最初に、ユーザはVPC用に一連のIPアドレスを選択することができる。この範囲内では、インターネットやその他のVPCのインスタンスと通信するために、VPC内のインスタンスに様々なプライベートおよびパブリックのIPv4およびIPv6アドレス^[8] を割り当てることができる。これらのアドレスは、ユーザーのVPCアカウント全体ではなく、特定のインスタンスに割り当てられる^[9]。パブリックIPアドレスの静的割り当ては不可能だが、その代わり場合によってはアドレスの割り当て・割り当て解除によりインスタンスのアドレスが変更される。一貫したIPアドレスが必要な場合は、パブリックIPアドレスの代わりに第3のタイプのIPアドレスであるElastic IPアドレスを使用できる^[9]。

接続性

AWS VPCは、ユーザーがインターネット、ユーザーの企業データセンター、および他のユーザーのVPCに接続できるようにする^[8]。

インターネット

VPCは論理的に隔離されており、設定されたインターネットアクセスのみを許可することで高いセキュリティを確保できる。

Amazon VPCは内部IPアドレスからなるプライベートネットワークで構成されている。インスタンスは内部IPアドレスと同時にパブリックIPv4アドレスを割り当て可能であり、VPCへインターネットゲートウェイをアタッチし、サブネットのルートテーブルへインターネットゲートウェイへのルートを追加することで、パブリックIPアドレスを持つインスタンスがインターネットに接続できる^[10]。

Amazon VPC サブネットは以下の2つに分類される^[11]。

パブリックサブネット: トラフィックがインターネットゲートウェイにルーティングされる
プライベートサブネット: トラフィックがインターネットゲートウェイにルーティングされない

パブリックサブネットのインスタンスはインターネットゲートウェイからインターネットへ接続されているため、サブネットからインターネットへのアクセス（アウトバウンド接続）とインターネットからサブネットへのアクセス（インバウンド接続）が可能になる。プライベートサブネットではインターネットとの入出力が不可能だが、NATゲートウェイを用意することでインスタンスからインターネットへのアウトバウンド接続のみを許可することができる^[12]。

パブリックサブネットインスタンスであっても、ホワイトリスト型ネットワーク制御である Security Groups を用いて細やかなアクセス制御が可能である。例えばアウトバウンドのみを許可することで外部へは接続できるが外部からは接続されないパブリックサブネットインスタンスを設定できる。

デフォルト設定では

ルートテーブル: 0.0.0.0/0 = IGW
セキュルティグループ: egress-only (all outbound OK, intra-SG inbound only OK)
インスタンス: elasticIPv4割り当て、デフォルトSG割り当て

となっている。

外部サービス

ユーザーは、データセンターとVPC間のハードウェアVPN接続を設定することで、データセンターに接続することができる。この接続により、ユーザーは「VPC内のAmazon EC2インスタンスと[ユーザーの]既存のネットワーク内であるかのようにやりとりできる」^[8]。

VPC

ユーザはプライベートIPアドレスを使用して1つのVPCから別のVPCにトラフィックをルーティングでき、同じネットワーク上にあるかのように通信できる。ピアリングは、同じアカウントの2つのVPC間のルートまたは同じ地域の異なるアカウントの2つのVPCを接続することで実現できる。 VPCピアリングは1対1の接続であるが、ユーザは一度に複数のVPCに接続できる^[13]。

プライバシー

AWS VPCのセキュリティは2つ存在する。第1に、AWS VPCはセキュリティグループをファイアウォールとして使用してトラフィックをインスタンスレベルで制御し、ネットワークアクセス制御リストをファイアウォールとして使用してサブネットレベルでトラフィックを制御する^[14]。 AWS VPCは、第２の手法として、ハードウェア上に「専用インスタンス」を作成し、専用インスタンスを非専用インスタンスや他のアカウントが所有するインスタンスから物理的に隔離する機能を提供する^[15]。

AWS VPCは無料でユーザーはEC2リソースの使用量を支払うだけである。しかし、VPN経由でVPCにアクセスする場合は、料金が発生する。

参考文献

^ Amazon Virtual Private Cloud
^ Amazon to soothe Enterprise fears with Virtual Private Cloud
^ Amazon launches Virtual Private Cloud service
^ Amazon Integrates With Datacenter Using Private Clouds VPC Peering
^ Amazon Adds a Virtual Private Cloud VPC Peering
^ ^a ^b John R. Vacca, Computer and Information Security Handbook, p. 99
^ [1]
^ ^a ^b ^c FAQS
^ ^a ^b VPC IP Addressing
^ 以下を実行する必要があります。 VPC にインターネットゲートウェイをアタッチする。インターネットバウンドトラフィックをインターネットゲートウェイに転送するルートを、サブネットのルートテーブルに追加します。... サブネットのインスタンスに、グローバルに一意な IP アドレス (パブリック IPv4 アドレス、Elastic IP アドレス、IPv6 アドレス) が割り当てられていることを確認します。[2]
^ サブネットのトラフィックがインターネットゲートウェイにルーティングされる場合、そのサブネットはパブリックサブネットと呼ばれます。 ... インターネットゲートウェイへのルートがないサブネットは、プライベートサブネットと呼ばれます。AWS Docs
^ インスタンス 2A はインターネットにアクセスできませんが、VPC の他のインスタンスにはアクセスできます。ネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを使用して、VPC のインスタンスによる IPv4 インターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接続を拒否できます。 [3]
^ VPC Peering
^ Amazon Virtual Private Cloud Security
^ Dedicated Instances

外部リンク

Seamlessly Extending the Data Center - Introducing Amazon Virtual Private Cloud - AmazonCTOのワーナー・ヴォゲルスによるブログ記事

[Amazon_Virtual_Private_Cloud-1] Amazon Virtual Private Cloud

[2] Amazon to soothe Enterprise fears with Virtual Private Cloud

[3] Amazon launches Virtual Private Cloud service

[4] Amazon Integrates With Datacenter Using Private Clouds VPC Peering

[5] Amazon Adds a Virtual Private Cloud VPC Peering

[John_R._Vacca_99-6] John R. Vacca, Computer and Information Security Handbook, p. 99

[7] [1]

[faqs-8] FAQS

[IP_addressing-9] VPC IP Addressing

[10] 以下を実行する必要があります。 VPC にインターネットゲートウェイをアタッチする。インターネットバウンドトラフィックをインターネットゲートウェイに転送するルートを、サブネットのルートテーブルに追加します。... サブネットのインスタンスに、グローバルに一意な IP アドレス (パブリック IPv4 アドレス、Elastic IP アドレス、IPv6 アドレス) が割り当てられていることを確認します。[2]

[11] サブネットのトラフィックがインターネットゲートウェイにルーティングされる場合、そのサブネットはパブリックサブネットと呼ばれます。 ... インターネットゲートウェイへのルートがないサブネットは、プライベートサブネットと呼ばれます。AWS Docs

[12] インスタンス 2A はインターネットにアクセスできませんが、VPC の他のインスタンスにはアクセスできます。ネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを使用して、VPC のインスタンスによる IPv4 インターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接続を拒否できます。 [3]

[VPC_Peering-13] VPC Peering

[14] Amazon Virtual Private Cloud Security

[15] Dedicated Instances

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]