AWSのVPNについてまとめています。
AWS VPNはオンプレミスネットワークをクラウドに接続
AWS Client VPN は、ニーズに合わせて自動でスケールする、フルマネージド型の VPN サービスです。クラウド VPN ソリューションのため、特別なハードウェアやソフトウェアのインストール、サポートするリモートユーザーの数を見積もる必要がありません。
関連)AWS VPN(オンプレミスネットワークへどこからでも安全に接続)| AWS
AWS VPNはフルマネージド。デプロイ、キャパシティーのプロビジョニング、サービス更新を自動処理します。1 つのコンソールから全接続を監視できるんですね。
AWS VPNは複数の認証方法に対応しています。VPN ソリューションからの Multi-Factor Authentication (MFA)、フェデレーション認証が必要となるケースが多いんですね。AWS Client VPN は、相互認証とフェデレーション認証、相互認証と Active Directory認証を使用できます。
AWS VPNはスケールが自在です。従来のオンプレミス型VPNサービスは、ハードウェアの容量に縛られますが、AWS Client VPN は、ユーザーのニーズに基づいて伸縮自在にスケールアップまたはスケールダウンします。料金は従量課金制で、使ったぶんだけの請求になります。
単一のVPN接続でリモートアクセスできます。オンプレミス VPN サービスとは違って、AWS Client VPN では、1つのVPN接続で AWS およびオンプレミスネットワークに接続できるんですね。
AWS VPNの特徴
リモートアクセスをすばやく拡張できるのは、クラウドベースのVPNならでは。予期せぬ出来事により、急きょ多くの従業員がリモートで働かなくてはならなくなったとき、ハードウェアベースのVPNの増設では急激な状況の変化に対応できません。
リモートユーザが急に増えることで VPN 接続やトラフィックが急増、パフォーマンスや可用性が低くなる可能性があり、「重い」「遅い」「つながらない」といった状況になるんですね。AWS Client VPN はスケール自在で、需要のピーク時に対応するため、自動でスケールアップします。ピークがすぎるとスケールは縮小します。従量課金制なので、未使用の容量に対する支払いは発生しません。
一時的な従業員の VPN へのアクセス権を簡単に追加、削除できます。
急きょプロジェクトの参加メンバーにVPNのアクセス権を与えたい場合。AWS Client VPN では、AWSやオンプレミスネットワークへのアクセス権を、新規ユーザに付与するのが簡単。アクセス許可には、Active Directory グループに新しいユーザーを追加後、そのグループのアクセスルールを設定します。プロジェクトから抜ける、契約が切れたなどの場合に、アクセス権を取り消すのも簡単です。
クラウド、オンプレミスアプリへのアクセスが簡単です。
AWS Client VPN では、オンプレミスと AWS のアプリケーション両方に安全にアクセスできます。オンプレミスのシステムをクラウドに移行中など、アプリケーションがオンプレミスの場所からクラウドに移るときに単一のVPNでどちらにもアクセスできるんですね。AWS Client VPN では、移行中や移行後にアプリケーションへのアクセス方法を変える必要がないので、シンプルな運用が可能です。
AWSのVPNの接続方式
AWSのVPN接続方式には3つあります。AWS Site-to-Site VPN、AWS Client VPN、AWSVPN CloudHub です。
AWS Site-to-Site VPNは、オンプレミスのサイト同士やAWSネットワークを接続するためのもの。VPC とリモートネットワーク間で、IPsec でセキュアな VPN 接続を作成できます。AWS VPCとオンプレサイトを接続することも可能。
【関連記事】
▶AWSのVPCは、仮想ネットワークでAWSリソースを利用 料金や管理方法
AWS Client VPN は、インターネット経由でAWS リソースやオンプレミスネットワークにアクセスするためのもの。クライアントベースのマネージド VPN サービスで、自宅やモバイル環境から安全にアクセスできるようになります。
AWSVPN CloudHub は、複数のリモートネットワークをハブのような形で接続するためのもの。複数のモートネットワーク (たとえば、複数の支社がある) に対して仮想プライベートゲートウェイを通じて複数の AWS Site-to-Site VPN 接続を作成すると、各リモートネットワーク間で通信できるようになります。
リモートワークなどで注目を集めているのは、AWS Client VPN。AWSのVPNと言えば、このサービスを指すことが多いように思います。
AWS VPNの導入事例
AWSのVPNは、実際に使われているのでしょうか?公式サイトの事例紹介によると大手の製薬会社、シオノギ製薬がAWSのVPNを導入しているそうです。
「シオノギは大阪に本社を持ち世界中に開発・販売拠点を有する製薬会社です。AWS Client VPNを用い、わずか3日で3000名規模のVPN環境を構築が出来、急な全社在宅勤務指示でほぼ利用不可状態であったVPN環境の状況を一変させることができました。ユーザからも、快適にリモートワークができるようになったと多くの感謝の声もいただけ、IT部門の存在感を示すことができた事例になりました。改めてクラウドのスピード感、柔軟なスケーラビリティを実感でき、その威力を見せつけられた経験になりました。」
引用:VPN 接続 – Amazon Virtual Private Cloud
もともと会社とAWSのデータセンターを専用線で接続していたという前提条件があるものの、テレワークにAWS VPNを使うことに許可が降りてから5日で全社展開が完了。自宅から会社業務ができるように出来たそうです。
緊急事態宣言解除後は、社員が週に数回、業務の都合で出社しています。そんな中でも、今後の感染の再拡大などにそなえてテレワークに適したITインフラの強化をおこなっていくとのことです。
AWSのVPNの料金
AWSのVPN接続には、接続ごとに時間による従量制課金が発生します。
サイト間を接続するAWS Site-to-Siteの場合、例えば、リージョンが米国東部(オハイオ)だと、サイト間VPN接続ごとに0.05USD/時間。24時間で1.2ドル、1ヶ月(30日)で36ドルがかかります。
個人が利用するAWS Client VPNは、リージョンが米国東部(オハイオ)の場合で「AWS Client VPN エンドポイントアソシエーションが0.1USD/時間」、「AWS Client VPN 接続が0.05USD/時間」かかります。
例えば、10台のパソコンからVPN接続した場合、24時間でいくらかかるのでしょうか?
- AWS Client VPN エンドポイントアソシエーション x 1 = 0.1 * 24(時間) =2.4ドル
- AWS Client VPN 接続 x 10(接続するクライアントの数) = 0.05 * 10 * 24(時間) = 12ドル
24時間で、2.4ドル+12ドル=14.4ドルがかかります。一ヶ月だと、14.4 x 30(日)=432ドルになります。
AWSのVPN まとめ
- AWS VPNはクラウドベースのVPNサービスで、自在にアカウントの追加・削除、スケールが可能
- AWSのVPNの接続方式にはAWS Site-to-Site VPN、AWS Client VPN、AWSVPN CloudHubの3種類あり
- AWSのVPNの料金は重量課金制。サイト間接続とクライアント接続とで料金体系が異なる
