本文へジャンプします。

TOP
クラウド トップ>クラウドナビ>基礎知識>クラウド環境へ安全にアクセスするには。接続方法とデザインパターンを解説

基礎知識

クラウド環境へ安全にアクセスするには。接続方法とデザインパターンを解説

2021年10月20日


クラウド環境へ安全にアクセスするには。接続方法とデザインパターンを解説

従来のオンプレミス環境では、サーバーが自分たちの管理下にあり、プライベートネットワークで直接アクセスすることが可能でした。それに対して、クラウド環境では、サーバーはクラウドベンダーのデータセンターに存在します。ハードウエアを自分達で管理する必要がなくなった反面、物理的に離れた地点に存在するサーバーにアクセスする方法を考える必要が出てきました。

本記事では、クラウド環境にアクセスする方法を大きく4つのタイプにわけて紹介します。

本記事をご覧いただいた方向けに、おすすめの記事をまとめました。こちらもあわせてご確認ください。

各アクセス方法の特長とデザインパターン

クラウド環境へのアクセス方法は大きく分けて、以下に挙げる4つの方法が考えられます。それぞれの方法ごとにメリット/デメリットがあるため、システムの要件やコストに応じて適切な方法を選択、あるいは組み合わせて使用することになるでしょう。ここでは、それぞれの特長と実際にクラウドでシステムを設計・構築をする際の設計パターンである「クラウドデザインパターン」をあわせて紹介します。

インターネットを利用したアクセス

クラウドへの1番シンプルなアクセス方法が、インターネット回線を利用したアクセスです。インターネットを利用するメリットは、サーバーがインターネットからアクセス可能ならそれだけでよいという点です。この方法は特別な機器や手続きなしで使いはじめることができるため、強固なセキュリティが要求されず、かつ低コストでスタートしたい場合に向いています。

デメリットは、サーバーがインターネットに直接公開されてしまうという点です。そのままでは、世界中の誰もがサーバーにアクセスできてしまうため、別途ファイアウォールを設けてアクセスを制限するなど、セキュリティを確保する必要があります。

具体的には、ファイアウォールで必要のないポートを遮断したり、アクセス元IPアドレスを制限するといった対策を行うのが一般的です。ただし、サーバーに接続できるIPアドレスを制限してしまうと、不特定多数からのアクセスは防げるものの接続のたびにIPアドレスが変化するPPPoE環境やスマートフォンなどのモバイル環境からのアクセスがしづらくなるという問題も出てきます。また、運用を続けていくとサーバーを利用するユーザーが増減したり、接続元のIPアドレスが変化することもあるでしょう。そのため、継続して許可IPアドレスリストをメンテナンスし続ける手間もかかります。

ニフクラでは、サーバーへの通信をあらかじめ定義されたルールに従ってフィルタリングできる「[ファイアウォール」を無償で提供しています。例えば、SSHでの通信は特定のIPアドレスに制限するといった措置を行うことで、不正なアクセスへの耐性を強めることができます。インターネットを利用したアクセスの具体的な構成は、「クラウドデザインパターン(インターネット接続パターン)」をご確認ください。

端末からVPNを利用したアクセス(インターネットVPN)

公衆のネットワークであるインターネットでは、第三者によって通信を盗聴されたり、改竄されたりといった危険があります。そこで、特定のユーザーのみが使用できる暗号化した通信経路を確保し、あたかもプライベートネットワークで接続されているかのように通信を行う技術がVirtual Private Network(VPN)です。特にインターネット上に仮想的な通信経路を確保するVPNを「インターネットVPN」と呼びます。この方法は、低コストでセキュリティを確保したい場合やモバイル環境からのアクセスが必要な場合に向いています。

ユーザーとクラウド環境の間の通信経路をVPNで確保すれば、前述の「インターネットを利用したアクセス」で問題となる第三者による不正なアクセスやインターネットを利用することに起因する通信の盗聴や改竄を防ぎ、安全に通信ができます。また、回線そのものはインターネットを利用するため、後述する閉域網を利用したアクセスに比べてコストが非常に安価で済む点もメリットです。

さらに、この方法ではユーザー認証のみで安全な通信経路を確保できるため、接続元を問いません。IPアドレスが変化する家庭やモバイル環境からでも利用できるため、昨今ではテレワークにおいても広く利用されています。

デメリットは、クラウド環境に接続する際にユーザーが手動でVPNの接続/切断を行わなければならないため、ほかの方法に比べて余計な一手間がかかる点です。また、管理者側では、新規ユーザーの作成や不要になったユーザーの削除といったメンテナンス作業が必要となります。

ニフクラでは、リモートアクセス型のVPNサービス「リモートアクセスVPNゲートウェイ」を提供しています。リモートアクセスVPNゲートウェイを使うことで、お客様オフィスのネットワークなどからニフクラ上のプライベートLANへ、安全に接続することができます。リモートアクセスVPNを利用した具体的な構成は、「ニフクラ クラウドデザインパターン」のeBookに収録されている「クラウドデザインパターン(セキュアメンテナンスパターン リモートアクセスVPNゲートウェイ利用)」で紹介されていますので、こちらを参照してください。

拠点間VPNを利用したアクセス

前述のインターネットVPNは、PCやスマートフォンなどの各端末からVPN接続を行います。これに対し、オフィスなど拠点のネットワーク全体をクラウド環境のネットワークとVPNで繋いでしまう方法を拠点間VPNと呼びます。ネットワーク同士を常時接続するため、利用者はVPNの存在を意識する必要はなく、あたかもLANを延長したかのようにクラウド環境へシームレスにアクセスできるのが特長です。この方法は、主に社内サーバーを段階的にクラウドに移行したい場合やハイブリッドクラウドを構築したい場合に向いています。

クラウドと接続したい拠点内にVPNの接続機器が必要となるため、初期導入コストや設定の手間はかかってしまいます。しかし、リモートアクセスVPNのデメリットであった各端末へのVPNクライアントのインストールや手動での接続/切断、ユーザーごとのVPNアカウントの管理といった作業が不要となるため、導入さえしてしまえば運用にかかる手間が少ない点がメリットです。

デメリットは、拠点同士を繋ぐため、スマートフォンなどを利用した拠点外からのアクセスができない点です。そのため、端末からVPNを利用したアクセスとは、利用スタイルに応じて使い分けるとよいでしょう。もちろん設定次第で併用することも可能です。

ニフクラでは、インターネットVPN(Ipsec)を利用し、専用線など高コストな回線なしに外部から安全に接続できる「拠点間VPNゲートウェイ」を提供しています。拠点間VPNゲートウェイは、L2(レイヤー2)でのVPN接続を可能とするL2TPv3/IPsecにも対応しているため、オンプレミスとクラウドを同一のネットワークセグメントに置く「L2延伸」も可能となっています。拠点間VPNを利用した具体的な構成は、「 クラウドデザインパターン(ハイブリッドクラウド VPN接続パターン)」をご確認ください。

閉域網を利用したアクセス

インターネット上に仮想的な経路を作るVPNとは異なり、専用の回線(閉域網)を用意して拠点とクラウドを接続する方法です。物理的に専用の回線を用意するため、そもそも第三者が介入する余地がなく、ほかの方法に比べてセキュリティ的に堅牢であると言えるでしょう。また、インターネットは複数のユーザーの通信が混在しているため、利用者が増えるとパフォーマンスが落ちることがあります。しかし、専用の回線であれば、あらかじめ適切な帯域幅を確保することでこうした問題も起こりにくくなります。

パフォーマンスやセキュリティともに優れた方法ですが、通信キャリアに専用の回線を用意してもらう必要があるため、インターネットを利用する場合と比較して、大きなコストがかかってしまう点がデメリットです。そのため、セキュリティとパフォーマンスを重視する案件で、なおかつかかるコストが許容できる場合に適した方法です。

ニフクラでは、ニフクラ上のデータを利用者の専用線・閉域網から利用可能にする「ダイレクトポート(専用線・閉域網 接続サービス)」を提供しています。ダイレクトポートを利用した具体的な構成は、「クラウドデザインパターン(ハイブリッドクラウド ダイレクトポート(専用線・閉域網 接続サービス)利用パターン)」をご確認ください。

デザインパターンをまとめた無料eBookで提供中

ニフクラでは、上記以外にもさまざまなクラウドでのデザインパターンをまとめた「ニフクラ クラウドデザインパターン」を提供しています。クラウドにおける典型的な課題とその解決策を解説していますので、ニフクラを利用したシステムアーキテクチャ設計を行う際はもちろん、これからニフクラを利用検討される場合にも参考にしてください。

  • このエントリーをはてなブックマークに追加