AWS VPNとは？AWS Client VPNの構築方法9つについても解説

AWS VPNとは

AWS VPNとは、仮想の専用回線を用いてセキュアな通信を可能にするAWSのサービスの1つです。AWS環境内のリソースである、Amazon Virtual Private Cloud（Amazon VPC）にVPN Gatewayを構築し接続します。

AWS VPNを利用すると、オンプレミスネットワーク、リモートオフィス、クライアントデバイスからAWSのグローバルネットワークに対して、安全な接続ができます。

VPNとは

VPN（Virtual Private Network）とは、「仮想専用回線」と訳され、インターネット上に仮想的なプライベートネットワーク（専用回線）を構築する技術です。

セキュリティ上の安全な経路を使って重要なデータのやり取りができ、データの改ざんや盗聴の脅威から情報を守ることができます。

また、外出先などから自宅や社内システムへ安全にアクセスしたり、企業の拠点間の通信に使用されています。

AWS Client VPNの構築方法9つ

AWS Client VPNの構築方法とは、VPNエンドポイント作成やポイントにセキュリティグループの割り当て、証明書発行などの項目を設定し実施します。

具体的な構築方法は、Client VPNエンドポイントを作成してVPCサブネットに関連付けします。Client設定ファイルとClient証明書、証明書の秘密鍵をフォルダに配置します。

ここでは、それぞれの構築手順を詳しく紹介しましょう。

1：セキュリティグループの設定を行う

構築方法でセキュリティグループの設定とは、AWS Client VPNのエンドポイントのリソースにセキュリティを割り当てるための「セキュリティグループ」の設定のことです。

デフォルトでは、基本のセキュリティグループが適用されます。あくまで、基本設定適用なので、不具合がでないように構築する適用内容をチェックする必要があります。

2：各種証明書の発行を行う

構築方法で各種証明書の発行とは、Client証明書とサーバー証明書の2つを発行する必要があります。

Client証明書は、クライアントVPNエンドポイントに接続動作を実施すると、サーバー側では、クライアント証明書により認証を実施します。サーバー証明書は、構築によるVPNエンドポイントを作る時に指定が必要です。

3：ACMへアップロードを行う

構築方法でACMへアップロードの実施とは、VPNポイント接続時に作成した証明書とキーをACMへアップロードを実施します。

アップロードを完了すると、その証明書とキーによりAWSならびにVPNに接続を実施します。接続を実施するVPCのリージョンACMにアップロードを実施しましょう。

4：S3へアップロードを行う

構築方法で、S3へアップロードの実施とは、VPNエンドポイントで作成したクライアント証明書をダイレクトにS3へアップロードすることです。

具体的な構築方法では、VPNエンドポイントからS3へアップロードするには、IAMロールのアタッチが必要です。

また、AWS CLIを使ってVPNエンドポイントからS3へアップロードや特定のディレクトリやパケットフォルダの同期も可能です。

5：ダウンロードを行う

構築方法で、ダウンロードの実施とは、該当PCに証明書をダウンロードすると言う意味です。

PCより、コンソール画面を起動して「ダウンロードボタン」を押下することによりプロファイルをダウンロード可能です。ダウンロードしたプロファイルを起動して設定を実施します。

6：有効化を行う

構築方法で有効化を実施するとは、クライアントVPN エンドポイントでVPN接続可能とするサブネットを有効化することです。

クライアントVPN エンドポイント作成画面で、「関連付け」タブで接続を可能とするサブネットを設定し、「認証」タブでVPNアクセス有効とするサブネットを設定し完了です。

7：AWS Client VPNをインストールする

AWS Cliento VPNをインストールするとは、該当PCにAWS Client VPNアプリをダウンロードすることを言います。

PCよりクライアントVPNエンドポイントコンソール画面より、「クライアント設定のダウンロードボタン」を押下してプロファイルダウンロードを実施します。

8：プロファイル設定を行う

プロファイル設定を実施するとは、ダウンロードしたプロファイルを起動して、設定を実施することです。

プロファイルの起動時にエラーが発生した場合は、パスが正常となっているかどうかのチェックを実施しましょう。格納するフォルダのアクセス権も事前にチェックしておきましょう。

9：デプロイを行う

デプロイを実施するとは、VPNポイントにリモートによる接続を実施するOSをデプロイ（配置）することを言います。

具体的には、VPC内にリモート接続して試験を実施するためにWindows OSを配置します。プライベートIPアドレスで接続が可能です。

AWS Client VPNを導入するメリット3つ

ここではAWS Client VPNを導入するメリットを「セキュリティに強い」、「障害に強い」、「互換性がある」という3点についてご紹介します。

ほかには、ルーターなどのハードウェアを利用した環境構築が不要なため、設備投資が不要な点や、VPN同時接続数を機器に制限されないという点もメリットです。それでは詳しく解説します。

1：セキュリティが高い

仮想の専用回線を利用したVPNは一般のインターネット回線と異なり、暗号化された通信環境を構築します。

そして、AWS Client VPNは安全性の高いTLS VPNトンネルプロトコルを使用しているため、重要なデータを盗聴や改ざんのリスクから守ることが可能です。

また、セキュリティグループを使用したり、Active Directory認証を利用することで、柔軟なアクセス制御環境を構築できます。

2：障害に強い

AWS Client VPNは障害に強いこともメリットです。クライアント VPN エンドポイント設定では複数のサブネットを紐づけることができます。

異なるアベイラビリティゾーンに存在する複数のサブネットを紐づけておくことで、一方のアベイラビリティゾーンで障害が起きても、クライアントは別のアベイラビリティゾーンを利用できるのです。

3：互換性がある

AWS Client VPNは、OpenVPNに互換性があるクライアントアプリケーションを使用できます。また、OpenVPNはWindows、Mac、iOS、Android、Linuxで利用可能です。

そのため、利用者はPCだけでなく、スマートフォンやタブレットなど、さまざまなデバイスを選択し、AWSへアクセスすることが可能になります。

AWS Client VPNにかかる費用

AWS Client VPNには2種類の費用が発生します。1つ目は、エンドポイントがVPN接続した時間に応じて発生し、1時間あたり0.15USDです。2つ目は、クライアントがVPN接続した時間に応じて発生し、1時間あたり0.05USDとなっています。

これから具体例をご紹介いたします。上記料金は東京リージョンを使用した場合の2020年の8月の情報ですので、最新の料金はAWSの公式サイトでご確認ください。

AWS VPN の料金

1台あたりの費用

例として、東京リージョンにAWS Client VPNエンドポイントを構築し、サブネットを1つ紐づけ、1台のデバイスで1時間利用した場合は以下のようになります。

エンドポイント料金は0.15USD×1サブネット×1時間＝0.15USDで、Client VPN接続料金は0.05USD×1台×1時間＝0.05USDなので、合計で0.20USDとなります。

1ヶ月あたりの費用

1か月30日とし、エンドポイントは1か月間常にアクティブとします。接続するデバイスは、会社の営業日のみとして20日間、1日あたり8時間利用したとします。

エンドポイント料金は0.15USD×1サブネット×24時間×30日＝108USDで、Client VPN接続料金は0.05USD×1台×8時間×20日＝1台あたり8USDです。利用したデバイスの分だけClient VPN料金が加算されます。

AWS Client VPNを導入しよう

企業や組織がネットワーク上で重要なデータをやり取りする際には、セキュアな通信が必要です。AWS Client VPNは、自宅や外出先など場所を選ばずにAWSへセキュアにアクセスできます。

また、AWS Client VPNは重量課金制のマネージドサービスです。VPNを構築するための機器を購入する費用や、運用費をおさえて構築できます。ぜひ導入を検討してみてはいかがでしょうか。