Amazon Virtual Private Cloud

AWS クラウド内で論理的に分離したセクションをプロビジョニングし、お客様が定義する仮想ネットワークで AWS リソースを起動できます。

Amazon Virtual Private Cloud (Amazon VPC) では、AWS クラウドの論理的に分離されたセクションをプロビジョニングし、お客様が定義した仮想ネットワーク内の AWS リソースを起動することができます。自分の IP アドレス範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーキング環境を完全に制御できます。VPC では、リソースやアプリケーションに安全かつ簡単にアクセスできるよう、IPv4 と IPv6 を両方とも使用できます。

Amazon VPC のネットワーク設定は容易にカスタマイズすることができます。たとえば、インターネットにアクセスできるウェブサーバー用にパブリックサブネットを作成できます。また、データベースやアプリケーションサーバーなどのバックエンドシステムを、インターネットにアクセスできないプライベートなサブネットに配置することもできます。セキュリティグループやネットワークアクセスコントロールリストなどの複数のセキュリティレイヤーを使用し、各サブネットの Amazon EC2 インスタンスへのアクセスをコントロールすることができます。

VPC Fundamentals and Connectivity Options (50:50)

利点

セキュア

Amazon VPC は、セキュリティグループやネットワークアクセス制御リストなどの高度なセキュリティ機能を提供し、インスタンスおよびサブネットレベルで受信/送信に対してフィルタリングが可能です。加えて、Amazon S3 に格納したデータはアクセスを制限することができるので、VPC 内部のインスタンスからのみアクセスを許可することも可能となります。セキュリティを強化するために、ハードウェアレベルで、他の AWS アカウントから物理的に分離されたハードウェア専有インスタンスを作成できます。

シンプル

AWS マネジメントコンソールを使用して、VPC は迅速かつ簡単に作成します。一般的なネットワーク設定から選択し、ニーズに最適なものを見つけます。サブネット、IP 範囲、ルートテーブル、セキュリティグループが自動的に作成されます。セットアップと管理に費やす時間が短縮されるため、VPC で実行されるアプリケーションの構築に集中できます。

カスタマイズ可能

自分の IP アドレス範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーキング環境を制御します。例えば、インターネットとのアクセスが可能なウェブサーバーのパブリックサブネットを作成し、データベースやアプリケーションサーバーなどのバックエンドシステムをインターネットとのアクセスを許可していないプライベートサブネットに配置するなど、ネットワーク構成をカスタマイズします。

ユースケース

シンプルなパブリックウェブサイトをホスト

ブログやシンプルなウェブサイトなどの基本的なウェブアプリケーションを VPC でホストすることで、Amazon VPC が提供する、より高度なプライバシーおよびセキュリティレイヤーのメリットを得ることができます。セキュリティグループのルールを作成することにより、ウェブサイトをセキュリティで保護することができます。セキュリティグループのルールは、ウェブサーバーがインターネットからの HTTP および SSL リクエストに応答するのを許可すると同時に、ウェブサーバーがインターネットへの接続を禁止することができます。Amazon VPC コンソールウィザードから [VPC with a Single Public Subnet Only] を選択して、このユースケースに対応する VPC を作成することができます。

多階層のウェブアプリケーションをホスト

多階層のウェブアプリケーションをホストでき、ウェブサーバー、アプリケーションサーバー、データベース間のアクセスとセキュリティを厳密に管理することができます。アプリケーションサーバーとデータベースをプライベートサブネットで実行しながら、パブリックにアクセス可能なサブネットでウェブサーバーを起動して、インターネットから直接アプリケーションサーバーとデータベースにアクセスできないようにします。ネットワークのアクセスコントロールリストおよびセキュリティグループが提供する受信・送信パケットのフィルタリングを使用して、サーバーとサブネット間のアクセスをコントロールします。この使用例に対応する VPC を作成するには、Amazon VPC コンソールウィザードで [パブリックサブネットとプライベートサブネットを持つ VPC] を選択します。

災害対策

Amazon VPC を災害復旧に使用すると、わずかな費用で災害対策サイトのすべての利点を得ることができます。Amazon Elastic Block Store (EBS) ボリュームで、データセンターのクリティカルなデータを数台の Amazon EC2 インスタンスに定期的にバックアップできます。または Amazon EC2 に仮想マシンイメージをインポートできます。ビジネスの継続性を確保するために、AWS で代用の計算能力をすばやく起動できます。障害が解決したら、重要データをデータセンターに送り返し、不要な Amazon EC2 インスタンスを終了できます。

企業ネットワークをクラウドで拡張

企業内アプリケーションをクラウドに移行し、社内ネットワークに VPC を接続することにより、より多くのウェブサーバーを起動し、より多くのコンピュート能力をネットワークに追加します。VPC は企業のファイアウォールの内側でホストすることが可能なため、これらのアプリケーションに対するユーザーのアクセス方法を変更することなく、シームレスに IT リソースをクラウドに移行することができます。Amazon VPC コンソールウィザードで [プライベートのサブネットのみで、ハードウェア VPN アクセスを持つ VPC] を選択して、この使用例に対応する VPC を作成することができます。

クラウドアプリケーションをデータセンターに安全に接続

Amazon VPC と企業ネットワーク間の IPsec VPN 接続により、クラウド内のアプリケーションサーバーとデータセンター内のデータベース間のすべての通信が暗号化されます。VPC 内のウェブサーバーとアプリケーションサーバーは、Amazon EC2 の伸縮性と Auto Scaling 機能を活用して、必要に応じて拡大縮小させることができます。Amazon VPC コンソールウィザードで [パブリックとプライベート サブネットおよびハードウェア VPN アクセスを持つ VPC] を選択して、この使用例に対応する VPC を作成することができます。

帯域外およびインラインのトラフィック検査

Amazon VPC トラフィックミラーリングは、EC2 インスタンスの Elastic Network Interface (ENI) からのトラフィックと完全なペイロードデータを複製し、帯域外モニタリングおよびセキュリティ分析ツールに配信します。

Amazon VPC イングレスルーティングにより、サードパーティー製品を含むネットワークおよびセキュリティアプライアンスを、インバウンドまたはアウトバウンド Amazon VPC トラフィックにインラインで簡単にデプロイできます。インライントラフィック検査は、トラフィックを選別して保護し、ワークロードを悪意のあるユーザーから保護します。

パートナー

Paloalto Logo
「VM シリーズの仮想次世代ファイアウォールと新しい Amazon VPC イングレスルーティング機能との統合により、VPC へのすべてのイングレストラフィックが脅威防止サービスによって確実にフィルタリングされるようになります。ブラウンフィールド環境内に VM シリーズの仮想ファイアウォールを bump-in-the-wire として挿入することにより、顧客はインターネットやデータセンターからの着信トラフィックをシームレスに保護できます」

- VM シリーズ社の製品管理担当部長 Mukesh Gupta

Fortinet_Logo
「Amazon VPC イングレスルーティングにより、Fortinet は、ビジネスに不可欠な VPC に入るすべてのトラフィックで Fortinet ネットワークセキュリティを有効にすることで、顧客により高い信頼をお届けできます。VPC Ingress Routing では、単一の VPC 内の個別の Fortinet 製品でさまざまなワークロードを保護するのに役立つ、はるかに柔軟なソリューションも利用可能です。最終的に、より安全で柔軟なアーキテクチャは、設定ミスに関連するお客様のリスクを軽減し、クラウドのデプロイをさらに拡大するのに役立ちます」

- Lior CohenFortinet のクラウドセキュリティ製品およびソリューションのシニアディレクター

CP_logo
「当社のエンタプライズのお客様は一般的に AWS Transit Gateway を使用して CloudGuard の高度な脅威防御をデプロイしていますが、これは VPC の数が限られている中小企業には適していません。VPC イングレスルーティングの機能強化により、より小規模なデプロイで、高度なセキュリティを実現するために VPC に流れるトラフィックをより簡単で、効率的かつ自然にリダイレクトできます。

– Check Point Software クラウド製品部長 Zohar Alon

Barracuda_Logo
「VPC イングレスルーティングにより、顧客は Barracuda の CloudGen ファイアウォールを通過するすべての外部トラフィックが送信先に達する前に選別できます。VPC イングレスルーティングを使用して、顧客は送信先に基づいてカスタマイズされた深層パケットの検査ポリシーを適用できるようになりました。VPC イングレスルーティングは Amazon VPC にネイティブであり、Barracuda のインラインクラウドセキュリティソリューションをお客様が簡単にデプロイできるようにします」

- Barracuda Networks のネットワークセキュリティのゼネラルマネージャー/担当部長 Klaus Gheri

Sophos_Logo
「サイバー犯罪者はますますこれらのクラウド環境に対する高度な攻撃を標的にしているため、組織は絶対に内部のトラフィックを含むクラウドインフラストラクチャを保護することを重要視しなければなりません。AWS と Sophos は、クラウドセキュリティに真正面から取り組んでいます。イングレスルーティングの拡張サポートにより、Sophos UTM は追加のセキュリティレイヤーを提供し、VPC や他の仮想アプライアンスを通過するトラフィックを確実に保護します」

- Sophos のグローバルパブリッククラウド担当シニアディレクター Andy Miller

Aviatrix Logo
「新しい Amazon VPC Ingress Routing の機能強化を活用して、お客様は VPC ネットワークトラフィックを高度なインラインサービスにルーティングできるようになりました。Aviatrix クラウドネイティブのネットワーキングソフトウェアは、ネイティブの AWS サービスを受け入れ、拡張します。この場合、新しい VPC Ingress Routing と AWS GuardDuty サービスを組み合わせて、Aviatrix ゲートウェイを介して入力と出力のポリシーを提供します」

- Aviatrix の創設者兼最高製品責任者 Sherry Wei

citrix-logo-black
「近日のユーザーは、仕事に必要なアプリケーションがどこでホストされているかは気にしません。彼らは、信頼できる一貫した方法で物事を成し遂げることを望んでいます。Citrix® ADC と AWS からの Amazon VPC イングレスルーティングを統合することにより、便利な配信モデルを使用して、実績のあるエンタープライズクラスのソリューションを大衆にもたらし、人々が絶好調で仕事を行えるようにする高性能エクスペリエンスを実現できます」

- Citrix の製品管理、ネットワーク担当部長 Mihir Maniar

Trend Micro Logo
「Trend Micro は、AWS の何千ものお客様に多層ハイブリッドクラウドセキュリティを提供します。Amazon VPC イングレスルーティングにより、クラウドネットワークセキュリティソリューションの幅広い採用と拡張されたデプロイが柔軟になります。これによって、お客様はビジネスアプリケーションを中断することなく、AWS VPC を迅速かつ大規模に保護できます」

Trend Micro 社ネットワークディフェンスとハイブリッドクラウドセキュリティのエグゼクティブ部長、Steve Quane 氏

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
「FireEye Network Security のお客様は、AWS 環境に高度な脅威保護と侵害検出を適用できるという利点をすでに享受しています。Amazon VPC イングレスルーティングの発表により、AWS での FireEye ネットワークセキュリティソリューションのデプロイがさらに容易になります。この新機能により、顧客は、インターネットゲートウェイと仮想プライベートゲートウェイを介して VPC を通貨する南北トラフィックをサードパーティーのアプライアンスにリダイレクトできるようになるため、NAT ゲートウェイが不要になります。これにより、顧客は、特殊なスキャンのために特定のアプライアンスにトラフィックを誘導できます。FireEye のお客様は、デプロイが容易であるため、オンプレミス、プライベート、パブリッククラウドデータセンターとの緊密な統合による利点を得ています」

- FireEye ネットワークセキュリティ製品担当ゼネラルマネージャー Ramesh Gupta

Versa Logo
「Versa の SD-WAN 管理およびオーケストレーションプラットフォームは、AWS での WAN エッジデバイスのインスタンス化と有効化を含む、エンドツーエンドのワークフロー自動化を提供します。現在、顧客は Amazon VPC イングレスルーティングを使用し、インターネットゲートウェイと仮想プライベートゲートウェイを介して、VPC を通過するトラフィックを、オンプレミス Versa の NGFW セキュリティアプライアンスにリダイレクトすることもできます」

- Versa Networks の最高マーケティング責任者

ShieldX_Logo
「ShieldX Elastic Security Platform (ESP) は、最新のマルチクラウドデータセンターを保護するために構築されています。ESP は、動的データセンター、クラウドインフラストラクチャ、アプリケーション、データがどこにいても保護するために、包括的で一貫したセキュリティコントロールを提供するよう設計された、エージェントレスでクラウドには依存しないソリューションです。AWS パートナーとして、ShieldX は VPC トラフィックミラーリングや VPC 入力ルーティングなどの AWS ネットワーク機能と統合して、継続的なアセット検出、自動ネットワークセキュリティポリシー生成、レイヤー 7 検査を可能にします。これらを組み合わせることで、企業は AWS パブリッククラウド内の北/南および東/西の両方を通過するネットワークトラフィックを監視および防止するための包括的なソリューションを提供できます。

- ShieldX の CEO、Ken Levine

Vectra Logo
「Amazon VPC のイングレスルーティングにより、お客様はトラフィックがサブネットに達する前にすべての外部トラフィックを選別できます。これは Amazon VPC でネイティブになり、お客様が簡単にネットワーク検出とレスポンスをクラウドにデプロイできるようにします」

- Vectra の製品マーケティング担当部長、Kevin Sheu

IBM Security Logo
「IBM Security は、クライアントが AWS ネイティブセキュリティコントロールの有効性を最大化するのに役立ちます。セキュリティアーキテクチャの設計だけでなく、最高レベルのセキュリティを提供する AWS コントロールの選択とデプロイでお客様を支援します。Amazon VPC イングレスルーティングにより、VPC のエッジにセキュリティソリューションを柔軟にデプロイできるため、トラフィックが VPC に含まれるワークロードに達する前に、南北トラフィックをスクリーニングして切片することができます。

- IBM Security Services クラウドセキュリティの提供戦略プログラムディレクター、Mike Sanders

Lastline Logo
「当社のネイティブクラウドネットワーク検出と応答プラットフォームにより、Lastline は AWS と密接に連携して、AWS のお客様のデータセキュリティを向上させています。Amazon VPC イングレスルーティングにより、AWS ネットワーク上で比類のない柔軟性とインライントラフィックの可視性をお客様に提供できます」

– Lastline 共同設立者兼最高製品責任者 Christopher Kruegel 博士

Netscout Logo black
「最近発表された Amazon VPC Ingress Routing Enhancement と Amazon VPC Traffic Mirroring を組み合わせることで、NETSCOUT は AWS 内および VPC 間のトラフィックを効果的に監視し、オンプレミスのデータセンター、AWS、ハイブリッドクラウド全体で限界のない可視性を効果的に提供するために活用できます」

- NETSCOUT の副社長、最高技術責任者、サービスプロバイダー Bruce Kelley, Jr.

Valtix_Logo
「Valtix は、最初にアプリを検出し、次にネットワークセキュリティをデプロイし、AWS リージョン全体でそれらのアプリを継続的に防御することにより、インラインクラウドネットワークセキュリティに革命をもたらします。Amazon VPC イングレスルーティングにより、Valtix クラウドネイティブファイアウォールクラスターは、VPC 内のインターネットおよびサブネット間のアプリケーショントラフィックのパスを取得できます。これにより、AWS で実行されているエンタープライズアプリケーションのネットワークトラフィックを完全に可視化できます。

- Valtix の CTO、Vijay Chander

128T Logo
「企業はデータセンターから Amazon VPC へのより安全で信頼性の高い接続を必要としています。128 Technology の Session Smart™ Router は、優れたレベルのセキュリティ、信頼性、複雑さの軽減を顧客に提供します。VPC イングレスルーティングの追加により、お客様は Amazon VPC へのトラフィックをさらに制御できるようになります。128 Technology は、このサービスをサポートする生態系協力者において厳選されたグループの一員になれたことを嬉しく思います」

- 128 Technology の CEO、Andy Ory

Forcepoint
「今日の高度なモバイルワーカーとグローバルに分散したビジネス環境の世界で、Forcepoint のクラウド対応 NGFW は、組織のハイブリッド IT スタックでゼロデイ攻撃やその他の新たな脅威のリスクを軽減しながら、安全で妨害されない環境で重要なデータや知的財産へアクセスできるように支援します。Amazon VPC イングレスルーティング機能の追加により、Forcepoint NGFW のお客様は、ネットワークセキュリティセグメンテーションの多様性を利用できます。同時に、Forcepoint のセキュリティプラットフォーム内で動的エッジ保護サービスを提供する方法と同様に、セキュリティ機能を最大限に活用できます」

- Forcepoint のグローバル CTO、Nicolas Fischbach

Amazon VPC の使用を開始する

AWS リソースはすぐに利用できるデフォルトの VPC で自動的にプロビジョニングされます。この VPC は構成を変更して、サブネットの追加や削除、ネットワークゲートウェイのアタッチ、デフォルトルートテーブルの変更、ネットワーク ACL の修正が可能です。

追加の VPC を作成するには、AWS マネジメントコンソールの Amazon VPC ページで「VPC ウィザードを開始」ボタンを選択します。4 つの基本ネットワークトポロジーが表示されます。作成したいネットワークトポロジーに最も似ているものを選択し、[VPC 作成] ボタンをクリックします。その後、トポロジーをさらにカスタマイズして、ニーズにより適合させることができます。その後すぐに、VPC 内で Amazon EC2 インスタンスの起動を開始できます。

ブログ投稿と記事

Debugging tool for network connectivity from Amazon VPC
Bhavin Desai
 
2019 年 1 月 19 日
VPC sharing: A new approach to multiple accounts and VPC management
Evgeny Vaganov  
 
2019 年 1 月 11 日

Amazon VPC の詳細について

製品詳細ページを見る
構築準備が整いましたか?
Amazon VPC の使用を開始する
ご不明な点がおありですか?
お問い合わせ