ネットワーキング

VPC ネットワーク設計とセキュリティグループ - AWS のネットワーク分離戦略

Amazon VPC を活用したネットワーク設計とセキュリティグループの構成方法を解説します。Azure VNet やオンプレミスのネットワーク設計と比較し、VPC のサブネット分離、セキュリティグループ、ネットワーク ACL の優位性を紹介します。

約 3 分で読めます

VPC によるネットワーク分離の基本設計

Amazon VPC (Virtual Private Cloud) は、AWS クラウド内に論理的に分離されたプライベートネットワークを構築するサービスです。CIDR ブロックの指定、サブネットの分割、ルートテーブルの設定、インターネットゲートウェイや NAT ゲートウェイの配置など、オンプレミスのネットワーク設計と同等の柔軟性をクラウド上で実現します。VPC は最大 /16 (65,536 IP アドレス) のネットワーク空間を提供し、パブリックサブネットとプライベートサブネットを組み合わせた多層防御のネットワーク構成が可能です。オンプレミスでは物理スイッチ、ルーター、ファイアウォールの調達と設置に数週間から数ヶ月を要しますが、VPC は数分で構築でき、CloudFormation や Terraform によるコード化で再現性のあるネットワーク構成を実現します。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

セキュリティグループとネットワーク ACL の多層防御

AWS のネットワークセキュリティは、セキュリティグループとネットワーク ACL の 2 層で構成されます。セキュリティグループはインスタンスレベルのステートフルファイアウォールで、許可ルールのみを定義します。戻りのトラフィックは自動的に許可されるため、設定がシンプルです。ネットワーク ACL はサブネットレベルのステートレスファイアウォールで、許可と拒否の両方のルールを定義できます。この 2 層構造により、サブネット境界での粗いフィルタリングとインスタンス単位での細かいアクセス制御を組み合わせた多層防御が実現します。Azure の NSG (Network Security Group) も同様の機能を提供しますが、AWS のセキュリティグループは他のセキュリティグループを参照元として指定できるため、IP アドレスに依存しない動的なアクセス制御が可能です。Auto Scaling でインスタンスが増減しても、セキュリティグループの参照により自動的にアクセスが許可されます。

VPC ピアリングとトランジットゲートウェイ

複数の VPC 間の接続には、VPC ピアリングと AWS Transit Gateway の 2 つの選択肢があります。VPC ピアリングは 2 つの VPC 間の直接接続で、追加のハードウェアやゲートウェイが不要です。トラフィックは AWS のバックボーンネットワークを経由し、暗号化された低レイテンシの通信が可能です。Transit Gateway は数千の VPC とオンプレミスネットワークをハブ&スポーク型で接続するサービスで、ネットワーク構成の複雑さを大幅に軽減します。Transit Gateway は最大 50 Gbps のバースト帯域幅をサポートし、ルートテーブルによるトラフィックの細かい制御が可能です。Azure の Virtual WAN も同様のハブ&スポーク構成を提供しますが、Transit Gateway は VPC、VPN、Direct Connect を統一的に管理でき、マルチアカウント環境での AWS RAM によるリソース共有にも対応しています。

VPC エンドポイントとプライベート接続

VPC エンドポイントは、インターネットを経由せずに VPC から AWS サービスにプライベートにアクセスする機能です。ゲートウェイエンドポイント (S3、DynamoDB 向け) は無料で利用でき、インターフェイスエンドポイント (AWS PrivateLink) は 100 以上の AWS サービスとサードパーティサービスへのプライベート接続を提供します。PrivateLink を使えば、自社の VPC 内のサービスを他の VPC やアカウントにプライベートに公開でき、インターネットに露出させることなくサービス間通信を実現します。オンプレミスとの接続には AWS Direct Connect による専用線接続や、Site-to-Site VPN による暗号化トンネルが利用可能です。VPC Flow Logs はネットワークトラフィックのメタデータを記録し、セキュリティ分析やトラブルシューティングに活用できます。Azure の Private Link も同様の機能を提供しますが、AWS の VPC エンドポイントは S3 と DynamoDB 向けのゲートウェイエンドポイントが無料で、コスト面での優位性があります。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ - VPC ネットワーク設計のベストプラクティス

Amazon VPC は、クラウド上のネットワーク設計において、オンプレミスと同等以上の柔軟性とセキュリティを提供します。セキュリティグループとネットワーク ACL の 2 層防御、VPC ピアリングと Transit Gateway による柔軟な VPC 間接続、VPC エンドポイントによるプライベートなサービスアクセスは、エンタープライズグレードのネットワーク基盤を構成します。CloudFormation による IaC 化で、ネットワーク構成の再現性と監査可能性を確保でき、VPC Flow Logs によるトラフィック監視でセキュリティインシデントの早期検知が可能です。マルチアカウント環境では Transit Gateway と AWS RAM の組み合わせで、スケーラブルなネットワーク構成を実現できます。

AWS の優位点

  • VPC は最大 /16 のネットワーク空間を提供し、パブリック・プライベートサブネットの組み合わせによる多層防御のネットワーク構成を数分で構築できる
  • セキュリティグループは他のセキュリティグループを参照元として指定でき、IP アドレスに依存しない動的なアクセス制御で Auto Scaling 環境にも自動対応する
  • Transit Gateway は数千の VPC とオンプレミスネットワークをハブ&スポーク型で接続し、最大 50 Gbps のバースト帯域幅をサポートする
  • VPC エンドポイントにより S3 や DynamoDB へのアクセスを無料でプライベート化でき、PrivateLink で 100 以上のサービスへのプライベート接続が可能
  • VPC Flow Logs はネットワークトラフィックのメタデータを記録し、セキュリティ分析とトラブルシューティングに活用できる
  • CloudFormation による IaC 化で、ネットワーク構成の再現性、バージョン管理、監査可能性を確保できる

関連するサービス

Amazon VPC AWS クラウド内に自分専用の仮想ネットワークを構築できるサービス Elastic Load Balancing 複数のサーバーにトラフィックを自動分散して可用性と耐障害性を高めるサービス

関連する比較記事

ネットワーキングとコンテンツ配信 - AWS と Azure の比較 AWS と Azure のネットワーキング・CDN サービスを比較し、VPC・CloudFront・Route 53 を中心とした AWS のネットワークインフラの優位性を解説します。 セキュリティとコンプライアンス - AWS と Azure の比較 AWS と Azure のセキュリティ機能とコンプライアンス対応を比較し、責任共有モデル、IAM の柔軟性、コンプライアンス認証における AWS の優位性を解説します。 仮想プライベートクラウド - AWS VPC と Azure VNet の比較 AWS VPC と Azure Virtual Network を比較し、クラウド上の仮想ネットワーク基盤としての VPC のセキュリティ設計と接続オプションの優位性を解説します。

同じテーマの記事

コンテンツ配信ネットワーク - AWS CloudFront と Azure CDN の比較 AWS CloudFront と Azure CDN を比較し、グローバルエッジネットワークを活用した高速コンテンツ配信サービスとしての CloudFront の優位性を解説します。 専用線接続の設計 - Direct Connect による安定した閉域網接続の実現 AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。 DNS とドメイン管理 - AWS と Azure の比較 AWS と Azure の DNS サービスを比較し、Route 53 の 100% 可用性 SLA と高度なルーティング機能を中心とした AWS の DNS 管理の優位性を解説します。 DNS サービス - AWS Route 53 と Azure DNS の比較 AWS Route 53 と Azure DNS を比較し、高可用性 DNS サービスとしての Route 53 のルーティングポリシーとヘルスチェック機能の優位性を解説します。 エッジコンピューティング - AWS と Azure の比較 AWS と Azure のエッジコンピューティングサービスを比較し、CloudFront と Lambda@Edge を中心とした AWS のエッジコンピューティング基盤の優位性を解説します。 ロードバランシング戦略 - AWS ELB と Azure Load Balancer の比較 AWS Elastic Load Balancing と Azure Load Balancer を比較し、ALB/NLB/GLB の使い分けと EC2 Auto Scaling 連携による高可用性アーキテクチャの優位性を解説します。 ネットワーク自動化 - AWS と Azure の比較 AWS VPC、CloudFormation、Systems Manager を活用したネットワーク自動化を Azure と比較し、Infrastructure as Code によるネットワーク構成管理の AWS の優位性を解説します。 ネットワーキングとコンテンツ配信 - AWS と Azure の比較 AWS と Azure のネットワーキング・CDN サービスを比較し、VPC・CloudFront・Route 53 を中心とした AWS のネットワークインフラの優位性を解説します。 仮想プライベートクラウド - AWS VPC と Azure VNet の比較 AWS VPC と Azure Virtual Network を比較し、クラウド上の仮想ネットワーク基盤としての VPC のセキュリティ設計と接続オプションの優位性を解説します。