AWSのVPCで使用できるVPN接続オプションについてご紹介します！

AWS VPCとは

Amazon Web Services（AWS）のVirtual Private Cloud（VPC）は、クラウドに仮想ネットワークを構築するサービスです。

AWSのリソースをプライベート環境で実行できるようにします。さらに、高度なセキュリティ機能を多数搭載しており、安全面で充実しているのが特徴です。

AWS VPNとは

AWSのVirtual Private Network（VPN）は、ネットワーク間をプライベート環境で接続するサービスです。

自身のデバイスやオンプレミスなどをAWSのリソースへ安全に接続できます。VPCとは密接な関係にあり、リソースとVPCの接続を多方面からサポートします。

VPCで使用可能なVPN接続オプション

この項目では、AWS VPCで使用可能なVPN接続オプションとその特徴についてご紹介します。

主となるのは、Client VPNとSite-to-Site VPNの2種類です。この他、複数のネットワークを直接繋ぐCloudHubも存在し、さらに他社製のアプライアンス（機器）を導入することも可能です。

VPN以外にも、Transit GatewayやPrivate Linkなどを用いた接続方法が存在しますが、ここでは割愛します。

Client VPN

Client VPNは、OpenVPNをベースとしたマネージド型サービスです。

さまざまなデバイスからリソースへのアクセスを可能にする他、デプロイ、プロビジョニング、スケーリングなどを自動で行う機能が搭載されています。リモートワークのように、使用機器の種類が多く、ネットワーク接続を多用するユースケースに適します。

特徴1：自動スケーリング

Client VPNには、自動スケーリング機能があります。

何らかの理由でアクセスが増加すると、それに合わせて自動でスケールアップします。逆に、需要が下がって容量を余らせているのを検出すると自動でスケールダウンします。

この機能により、可用性やパフォーマンスの維持、コストの節約などが容易になります。

特徴2：安全に接続できる

Client VPNは、安全な接続ができます。

Transport Layer Security（TLS）が採用されており、これによってトラフィックを暗号化します。

また、CloudWatch Logsと統合すれば接続ログを記録・管理でき、モニタリングが容易になります。不明なアクセスがあった場合には、それを切断することも可能です。

特徴3：認証サポートが豊富

Client VPNは、さまざまな認証をサポートしています。

具体的には、Directory Service、Active Directory、多要素認証（MFA）、SAML-2.0ベースのフェデレーション認証（シングルサインオン）などに対応します。また、Certificate Managerと統合することで、証明書のプロビジョニングや管理、デプロイが簡単に行えます。

特徴4：デバイスとの互換性が高い

Client VPNは、デバイスとの互換性が高く、さまざまな場所からアクセスできます。

OpenVPNベースのクライアントを使用しており、これに対応するすべてのデバイスから接続できます。具体的には、Windows、Mac、iOS、Android、Linuxなどに対応しています。

Site-to-Site VPN

Site-to-Site VPNは、データセンターやオンプレミスをVPCに接続するサービスです。

IPセキュリティ（IPSec）トンネルを経由することで、データを安全にクラウドへ展開できます。可用性やパフォーマンスを向上させる機能も持ち、企業のデータセンターのような大規模なデータを扱いたい時や、遠距離通信を行いたい時に適します。

特徴1：可用性が高い

Site-to-Site VPNは、高い可用性を持ちます。

1つの接続につき、複数のアベイラビリティーゾーン（AZ）にまたがって2つの通信トンネルを作成します。片方が停止した場合でも、もう片方を使うことで引き続き動作させられます。

特徴2：セキュリティ性能が高い

Site-to-Site VPNは、高いセキュリティ性能を持ちます。

VPCへ接続するトンネルにIPSecを使用できます。このトンネルでは、暗号化方式としてAdvanced Encryption Standard（AES）-128およびAES-256、鍵交換としてDiffie-Hellman鍵交換（DHE）法が採用されており、Perfect forward secrecy（PFS）が実現可能です。

特徴3：モニタリングができる

Site-to-Site VPNは、CloudWatchやPersonal Health Dashboardと統合することでモニタリングができます。

CloudWatchではトンネルをモニタリングし、状態や送受信量をメトリクスとして表示します。アラームを作成することで、何らかの変化があった時にSimple Notification Service（SNS）を通じてメッセージを受け取ることもできます。

Personal Health Dashboardでは、トンネルのエンドポイントが置換された時や、2つあるトンネルのうち片方だけが一定時間以上ダウンしていると通知を発信します。セットアップは不要で、誰でもすぐに使用可能です。

特徴4：Global Acceleratorによるパフォーマンス向上

AWS Global Acceleratorは、ルーティングを通じてパフォーマンスを向上させるサービスです。

専用のグローバルネットワークを利用し、リソースの状態やポリシーなどに合わせて最適な通信経路を自動で構築します。

ジッターやレイテンシーの低減、通信距離の短縮による速度向上などが行えます。また、静的IPアドレスを提供しており、管理の簡易化や可用性の強化に役立ちます。

Site-to-Site VPNとの統合が可能であり、パフォーマンスを向上させられます。

VPN CloudHub

CloudHubは、複数のSite-to-Site VPN間で直接通信できるようにするオプションです。

通常では、複数のネットワーク間の通信にはVPCを経由する必要がありますが、CloudHubを使用することで直接ネットワーク同士を接続し、データのやり取りが行えます。

他社製のVPNアプライアンス

AWS Marketplaceから他社製のVPNアプライアンスを入手し、VPCに導入できます。

基本的には、オープンソースコミュニティが提供しているソフトウェアになります。OpenVPN、Netgate pfSense Firewall、Cisco Cloud Services Router （CSR）などがあります。

AWS VPCおよびVPNの料金

VPCは、基本的な機能については無料で作成・使用できます。ただし、Reachability AnalyzerやTraffic Mirroring、NATゲートウェイなど、一部の機能は有料となります。

VPNの料金は、接続時間によって決定します。タイプやリージョンによって料金は前後します。

例えば東京リージョンでClient VPNを使用した場合、接続1時間ごとに0.05USD（約5.23円）の料金が発生します。Site-to-Site VPNの場合、1時間ごとの料金は0.048USD（約5.02円）になります。

AWSでVPNを使ってVPCとネットワークを接続した場合、基本的にはVPN接続に対する料金を支払うことになります。

詳しくは、公式ページをご覧ください。

出典：AWS VPN の料金
参照：https://aws.amazon.com/jp/vpn/pricing/

AWS VPCのVPN接続オプションについて知ろう

この記事では、AWS VPCのVPN接続オプションについてご紹介しました。

4種類のオプションが存在し、さまざまなデバイスからAWSへアクセスできるようにしたり、遠距離通信の時間を短縮したり、ネットワーク間の直接通信を行ったり、他社製のアプライアンスを導入したりできます。

それぞれの特徴について理解し、最適なオプションを選択してAWSのリソースをフル活用していきましょう。