Managed Service Column <システム運用コラム>

オンプレミスとクラウドを安全に接続する方法

Category: 入門編

2021.04.02

はじめに

自社設備を利用した従来型のオンプレミスと、近年なくてはならない存在となりつつあるクラウド。最近では、両者を接続してそれぞれの良さを活かす「ハイブリッドクラウド」という運用形態も注目されています。ここではVPN接続など、ハイブリッドクラウドにおいてオンプレミスとクラウドを安全に接続する方法を解説していきます。

(関連記事:「ハイブリッドクラウドとは?ハイブリッド環境のクラウドを構築するメリット」)

クラウドへ接続する方法

まず、オンプレミスとクラウドの違いについて説明します。 オンプレミスとは、自社で保有する設備でサーバーなどを運用することを指し、自社運用やオンプレと呼ばれることもあります。一方クラウドとは、クラウド事業者など外部の事業者が保有する設備でサーバーなどを運用する方法です。

なお、オンプレミスとクラウドを接続し、両方の良さを取り入れた「ハイブリッドクラウド」という運用形態もあります。ハイブリッドクラウドを構築するには、オンプレミスからクラウド環境までの接続回線を自社で用意する必要があります。
接続回線は、以下のようにインターネット経由のものと非インターネット経由のものに分けられます。

  • インターネット経由:インターネット接続/インターネットVPN接続(端末からアクセス・拠点間VPNでのアクセス)
  • 非インターネット経由:閉域ネットワーク接続/専用線接続

コストを抑えたい場合はインターネット経由、高いセキュリティ・通信品質を求める場合は非インターネット経由のものを選ぶとよいでしょう。

ここからは、オンプレミス環境からクラウド(パブリッククラウド)に接続する際に利用される上記の接続回線について、メリット・デメリットなどを解説していきます。

(関連記事:「VPNとは?VPNの基礎やメリット・デメリットについて」、「VPNと専用線の違いって何?価格(コスト)・品質・セキュリティなどで比較!」)

1. インターネットを利用したアクセス(インターネット接続)

インターネット経由でオンプレミス環境からクラウドへアクセスする場合、最もシンプルなものがインターネット接続を利用する方法です。インターネットでサーバーにアクセスできる状態であれば手軽に使えます。

インターネットに公開されているクラウド上のサーバーにアクセスする際には、HTTPSやSSHクライアントツールなどにより通信を暗号化し、セキュリティを担保します。

また、一般的に公開サーバーは攻撃の対象となりやすいため、サーバーの前にFW(ファイアウォール)を構築して不要な通信ポートを塞いだり、サーバーの改ざんを防止したり、接続元のIPアドレスを制限したりといったセキュリティ対策をあわせて行うケースがほとんどです。

2. 端末から VPN を利用したアクセス(インターネットVPN接続)

インターネット接続では情報の改ざんやデータを盗聴されるといったセキュリティリスクが避けられません。インターネット経由での接続方法で、セキュリティリスクをより低く抑えられる手段としては、インターネットVPN接続があります。

VPNとは、認証を通過した利用者と接続先のクラウドとの間のネットワーク上にトンネルを構築し、仮想的な専用線を作る技術です。 通信を暗号化するためセキュリティは強くなる一方、通信速度が一定でなくなる場合もあります。

端末からVPN接続する際には、クラウド側にVPNの受け口となるVPNゲートウェイを設置し、端末にインストールした接続用ソフトウェアを起動することで、クラウドとVPN接続を確立して通信を保護します。

端末からのVPN接続はユーザー認証のみで安全な接続を確保でき、前述のインターネット接続のように接続元のIPアドレスを制限するといった必要がありません。そのため、スマートフォンなどのモバイル端末からもアクセスしやすく、モバイル端末からクラウドへ安全に接続したい場合に向いています。

3. 拠点間VPN を利用したアクセス(インターネットVPN接続)

拠点間VPNでは一つひとつの端末ではなく、オフィスなど拠点のネットワーク全体をクラウドのネットワークとVPN接続します。個々の端末で接続用ソフトウェアを起動することなく、あたかも社内LANのように常時クラウド環境に接続することが可能です。

利用するにはクラウド側にゲートウェイ、オフィス(拠点)側に対向の接続機器の設置と固定のグローバルIPアドレスが必要になります。

なお、拠点間VPNの方法をとると、拠点外からはクラウドにVPN接続ができません。そのため、前述の端末からのVPNアクセスと併用する事例も多く見られます。

4. 閉域網または専用線を利用したアクセス(閉域ネットワーク接続、専用線接続)

非インターネット経由でオンプレミス環境からクラウドへ接続する方法としては、閉域ネットワーク接続と専用線接続があります。これらの接続方法では物理的に個別の回線を設置するため、高セキュリティを担保できます。また、通信速度についても遅延はほとんどありません。

ただし、利用の際にはクラウドの接続パートナーである通信キャリアが提供する閉域網ネットワーク接続もしくは専用線接続が必要になるため、コストは高くつきます。また、ネットワーク構成やベースとなる回線、接続方法(専用型・共有型)、利用できる帯域などは接続パートナーによって異なるため、自社の要件にあったパートナーを選ぶ必要があるでしょう。

おもなパブリッククラウドがサポートする接続サービス

ここからは、おもなクラウド(パブリッククラウド)が提供している接続サービスについて、以下の接続方法別に紹介します。

  1. 端末からVPN接続
  2. 拠点間VPN接続
  3. 閉域ネットワーク接続、専用線接続

2. 端末から VPN を利用したアクセス

まずは主要なクラウドが提供する、端末からのVPN接続サービスを見ていきましょう。

AWS VPN(AWS Client VPN)

AWS VPN(AWS Client VPN)は、Amazonが提供する接続サービスです。デプロイやプロビジョニングなど、サービス全体を一括で管理してくれるフルマネージド型で、ユーザーニーズに合わせたオートスケールやセキュリティの高さなどが特徴に挙げられます。

料金は従量料金制で、エンドポイントの時間料金と接続台数に応じた接続料金の2つが発生します。日本での料金内訳は以下のとおりです。

  • 時間料金:1時間あたり0.15ドル
  • 接続台数:1台につき1時間あたり0.05ドル

例えば、日本でスマートフォン10台を1時間接続した場合、料金は0.15ドル(時間料金)と0.50ドル(接続料金)の合計0.65ドルとなります。

Azure VPN Gateway(P2S VPN)

Azure VPN Gateway(P2S VPN)はMicrosoftが提供する接続サービスです。P2Sとはポイント対サイト接続の略になります。

この接続サービスでは時間料金と接続料金がかかり、利用する帯域幅によって以下のように異なります。

Basic(帯域幅100Mbps)の場合
  • 時間料金:1時間あたり4.04円
  • 接続料金:無償(接続台数は128個まで)
VpnGw2(帯域幅1Gbps)の場合
  • 時間料金:1時間あたり54.88円
  • 接続料金:接続台数128個まで無償、それ以降は500台まで1台につき1時間あたり1.12円

例えば、スマートフォン10台を1時間接続した場合、料金はBasicなら4.04円です。そして、VpnGw2なら54.88円(時間料金)と11.2円(接続料金)の合計66.08円がかかります。

なお、Googleが提供するGCPには、端末からのVPN接続ができるサービスはありません(2021年4月現在)。

3. 拠点間VPN を利用したアクセス

主要な拠点間VPN接続サービスとしては、以下の3つがあります。

AWS VPN(AWSサイト間VPN)

AWS VPN(AWSサイト間VPN)はAmazonが提供する接続サービスです。オフィスなどの拠点とクラウドの間に仮想トンネルを構築します。

料金は、接続料金・時間料金・データ転送料金・サイト間接続料金の4つで構成されています。日本での料金内訳は以下のとおりです。

  • 接続料金:1接続につき1時間あたり0.048ドル
  • 時間料金:1拠点につき1時間あたり0.025ドル
  • データ転送料金(送信):1GBあたり0.114ドル(1GBまでは無料。10TBまでは1GBあたり0.114ドルなど)※データ転送(受信)は無料。
  • サイト間接続料金:AWSからの送信量・受信量で多いほうに1GBあたり0.01ドル

例えば、AWS VPN(AWSサイト間VPN)を1拠点で1時間利用し、10GBの受信と5GBの送信をした場合、0.048ドル(接続料金)・0.025ドル(時間料金)・1.114ドル(データ転送料金)・0.1ドル(サイト間接続料金)の合計1.287ドルが発生します。

Azure VPN Gateway(S2S VPN)

Azure VPN Gateway(S2S VPN)はMicrosoftが提供する接続サービスです。S2Sとはサイト間接続の略で、オフィスなどの拠点とクラウドの間に仮想トンネルを構築します。

時間料金と接続料金がかかり、利用する帯域幅によって以下のように異なります。

Basic(帯域幅100Mbps)の場合
  • 時間料金:1時間あたり4.04円
  • 接続料金:無償(接続は10個まで)
VpnGw2(帯域幅1Gbps)の場合
  • 時間料金:1時間あたり54.88円
  • 接続料金:接続数10個まで無償、それ以降は30個まで1個につき1時間あたり1.68円

例えば、1拠点で1時間接続した場合の料金は、Basicなら4.04円です。VpnGw2なら、54.88円(時間料金)と1.68円(接続料金)の合計56.56円がかかります。

GCP Cloud VPN

GCP Cloud VPNはGoogleが提供する接続サービスです。オフィスなどの拠点とクラウドの間に仮想トンネルを構築します。

時間料金とIPsecトラフィック料金、外部IPアドレス料金がかかります。日本での料金内訳は以下のとおりです。

  • 時間料金:1時間あたり0.075ドル
  • IPsecトラフィック料金:1GBあたり0.05ドル
  • 外部IPアドレス料金:1時間あたり無料~0.015ドル

例えば、1拠点で1時間、データ量10GBの接続をした場合、0.075ドル(時間料金)・IPsecトラフィック料金(0.5ドル)・外部IPアドレス料金(無料~0.015ドル)の合計0.575ドル~0.59ドルが発生することになります。

4. 閉域網または専用線を利用したアクセス

閉域網・専用線を利用した接続サービスとしては、以下の3つが有名です。

AWS Direct Connect

AWS Direct ConnectはAmazonが提供する専用線接続サービスです。接続ポイントに自社または接続パートナーの設備を持ち込み、クラウド側のルーターとつないでプライベート接続を確立します。

この接続サービスの料金は、ポート時間料金とデータ転送料金の2つで構成されています。日本で専用線接続をした場合の料金は以下のとおりです。

  • ポート時間料金:容量1GBで1時間あたり0.285ドル、容量10GBで1時間あたり2.142ドルなど
  • データ転送料金:1GBあたり0.0410ドル

例えば、容量10GBのポートで10GBの通信をすると、2.142ドル(ポート料金)と0.410ドル(データ転送料金)の、合計2.552ドルが発生することになります。なお、接続パートナーはNTTコミュニケーションズやNTT東日本、KDDIなど30以上の企業から選択可能です。

Azure ExpressRoute

Azure ExpressRouteはMicrosoftが提供する専用線接続サービスです。

料金は従量制と無制限の2つに分かれています。従量制の場合、日本では以下のようにポート料金と送信データ転送料金が発生します。

従量制の場合
  • ポート料金:日本では帯域幅50Mbpsなら月額6,160円(STANDARD)、帯域幅1Gbpsなら月額4万8,832円(STANDARD)など
  • 送信データ転送料金:ゾーン1なら1GBあたり2.8円、ゾーン4なら11.2円など
無制限の場合(ポート数に応じて)

一方、無制限の場合は以下のような料金設定となっています。

  • 帯域幅50Mbps:月額3万3,600円(STANDARD)
  • 帯域幅1Gbps:月額63万8,400円(STANDARD)

例えば1ヵ月間、帯域幅50Mbpsの契約においてゾーン1で100GBの送信データ転送をすると、料金は6,440円となります。なお、接続パートナーは100以上の企業から選択可能です。

GCP Dedicated Interconnect

GCP Dedicated InterconnectはGoogleが提供する接続サービスです。料金は以下のように、Interconnect接続料金とVLANアタッチメント料金の2つで構成されています。

  • Interconnect接続料金:10Gbps回線では1回線につき1時間あたり2.328ドル、100Gbps回線では1時間あたり18.05ドルなど)
  • VLANアタッチメント料金:帯域幅50Mbps~10Gbpsで1回線につき1時間あたり0.10ドル、帯域幅20Gbpsで1回線につき1時間あたり0.20ドルなど

例えば、帯域幅10GbpsのVLANアタッチメントで10Gbps回線1回線を1時間接続した場合、料金は2.428ドルとなります。

おわりに

オンプレミス環境からクラウド(パブリッククラウド)に接続する方法は、大きく分けてインターネット接続、端末からのVPN接続、拠点間VPN接続、閉域ネットワーク接続・専用線接続の4つがあります。

それぞれの特徴をまとめると以下のようになります。

  • インターネット接続:低価格・手軽さを重視。セキュリティはそこまで要求しない場合に向く
  • 端末からのVPN接続:低価格・ある程度のセキュリティを重視。スマートフォンなどのモバイル端末から、より安全・快適にアクセスしたい場合に向く
  • 拠点間VPN接続:ある程度のセキュリティと、社内LANのように常時接続できる快適さを重視。端末からのVPNアクセスと併用可能
  • 閉域ネットワーク接続・専用線接続:強固なセキュリティと安定した通信を重視。コストがかかっても良い場合に向く

コストやセキュリティ要件、通信品質などのうち、重視する項目に応じて最適な方法を選択してみてください。

また、パブリッククラウドサービスの1つである Azure を例にとって、オンプレミスと Azure を安全に接続する方法とそれぞれの特長を解説した「オンプレミスとAzureを安全に接続する3つの方法」もチェックしてみてください。

クラウドの構築を任せたい

AWS構築サービス

AWS構築サービス

Amazon Web Serivce を利用したシステム構築を代行します。オンプレミスとAWSの接続もお任せください。

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステム構築を代行します。オンプレミスとAzureの接続もお任せください。

GCP構築サービス

GCP構築サービス

Google Cloud Platformを利用したシステム構築を代行します。オンプレミスとAzureの接続もお任せください。

Tag: ハイブリッドクラウド 専用線 VPN

関連記事

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php