オンプレミスからAWSサービスまで、簡単かつセキュアにアクセスできる「AWS PrivateLink」の利用シーンを紹介

オンラインのITシステムを活用している場合、情報の漏洩やインターネットを介したサイバー攻撃の脅威、個人情報の保護など、各種法規制の遵守などへの配慮が必要となります。AWSのようなクラウドサービスを使う場合、その備えはどうなっているのでしょうか? 本記事では、AWS上の仮想ネットワーク間をプライベートに接続できる「AWS PrivateLink」の紹介を中心に、オンプレミスからクラウド内の自社・他社サービスのセキュアなネットワーク確立方法について紹介します。

インターネットに公開したくない情報の保護について

十分な対策無しにインターネットから組織の情報リソースやビジネスアプリケーションにアクセスできるようにしておくと、悪意のある攻撃者からのさまざまな脅威に晒されてしまいます。パスワードなどのログイン情報を解読しようと総当たりで認証を試みるブルートフォース攻撃や、複数の経路から大量の処理のリクエストを送信してサービスを利用停止に追い込むDDoS攻撃(分散サービス拒否攻撃)による金銭の要求など、ご存知の方もいらっしゃるでしょう。

また、米国の医療保険の相互運用性と説明責任に関する法律「HIPAA(Health Insurance Portability and Accountability Act)」や、クレジットカード情報保護のためのセキュリティ基準「PCI DSS」では個人のプライバシー保護やセキュリティ確保について定められています。ITシステムを活用する企業や団体などの組織には、攻撃への防御ばかりでなく、コンプライアンス遵守という側面でも、安全なネットワークとシステムの構築と維持が求められているのです。

AWSには、Amazon Virtual Private Cloud (Amazon VPC) と呼ばれる、インターネットからは分離したプライベートな仮想ネットワークを構築できる機能があります。Amazon VPCでは、セキュリティグループやネットワークアクセス制御リストなどの高度なセキュリティ機能をサポートしており、ユーザーが定義した仮想ネットワーク内にあるAWSリソースをより安全に利用できるようになっています。

たとえば、Amazon S3に格納したデータに対して、インターネットからのアクセスを制限しながら、Amazon VPC内部にあるEC2インスタンスからのアクセスについては許可する、といった設定により、組織内に限定した利用が可能となります。インターネットからアクセスできなければ、ブルートフォース攻撃やDDoS攻撃を受ける可能性は低くなるはずです。

仮想ネットワーク間のプライベート接続を可能にするAWS PrivateLinkとは

さらに、異なるAmazon VPC間をプライベートに接続できる機能として「AWS PrivateLink」があります。これを使うと、例えば、自社のAmazon VPCに設定したEC2インスタンスから、別のAmazon VPCにある、AWSマーケットプレイスを通じて配信されるSaaS サービスを、インターネットを経由せずにより安全に使用したいといったニーズに応えられます。AWSがサポートするサービスであれば、Amazon VPC同士ばかりでなく、オンプレミスのデータセンターにあるデータやアプリケーションも含めて、外部からの脅威にさらすことなく利用できる環境も構築できます。

AWS PrivateLinkは、サービスを公開する側であるエンドポイントサービスと、そこにアクセスする側であるインターフェイスエンドポイントがセットになって構成されます。AWS PrivateLink を使用するには、Amazon VPC内にインターフェイスエンドポイントを作成し、別のAmazon VPC内にあるエンドポイントサービスを指定して接続を確立します。利用にあたってはコンソール上の操作だけで開始でき、別にファイアウォールのルール設定、専用のハードウェアやパブリックIPアドレスは必要ないため、管理も簡素化できます。

オンプレミスからAWS へはAWS Direct Connectでの接続がおすすめ

オンプレミスのデータセンターから、AWSにある自社のAmazon VPCに接続する方法には、AWS Direct Connectを利用できます。AWS Direct Connect 接続ポイントまでは、回線事業者が提供する回線サービスなどで接続できます。InternetVPNを使った接続も可能ですが、閉域ネットワークでの接続の方がセキュリティと通信品質においてよりアドバンテージがあります。

出典:

上図のように、AWSの公式サイトにもオンプレミスのデータセンターと自社のAmazon VPC、そしてAWS PrivateLinkによってAWSマーケットプレイスなどで展開されるSaaSサービス提供側のAmazon VPCと接続して利用している一連の図が示されています。社内外の各種リソースを、インターネットにさらすことなくセキュアに接続できることがわかります。

図を見ると、エンドポイントサービス側は、Network Load Balancerとなっています。AWS PrivateLinkは、SaaSアプリケーションの利用だけでなく、アプリケーションの負荷分散や、マイクロサービス(小さいサービスの疎に結合された集合体)を実現するような構成にも活用できるでしょう。

AWS PrivateLinkの利用料は?

AWS PrivateLink の料金は、アベイラビリティーゾーンにあるエンドポイントごとの料金と、処理データ量あたりの従量課金制です。
詳しくは公式サイトの料金表をご覧ください
https://aws.amazon.com/jp/privatelink/pricing/別ウィンドウで開きます

AWSのプライベート接続環境まとめ

ビジネスでITシステムを活用する場合、個人情報や機密情報など、インターネット上ではできるだけやりとりしたくない情報があります。サイバー攻撃への備えや、法令遵守のためには、プライベートなネットワークを確立しておくことが重要です。

AWSには、オンプレミスのデータから、AWS上のインスタンス、サードパーティから提供されるAWS上のSaaS製品などをプライベートなネットワークにて利用できる機能が提供されています。なかでもAWS PrivateLinkは、異なるAmazon VPC間のプライベート通信を可能にするもので、専用デバイスやパブリックIPアドレスは不要で、手軽に管理ができます。クラウドの利便性とともに、プライバシーを保って実現できる環境への移行を検討してみてはいかがでしょうか。

移行準備段階で知っておくべきAmazon Web Servicesの
サービスを学び、具体的にクラウド検討を考える!

ネットワークからクラウドまでトータルサポート!!
NTT東日本のクラウド導入・運用サービスを確認してください!!

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る