Amazon Virtual Private Cloud

ユーザーが定義した仮想ネットワーク内で AWS リソースの起動が可能な、アマゾン ウェブ サービス (AWS) クラウドのローカルで隔離されたセクションのプロビジョニング。

Amazon Virtual Private Cloud (Amazon VPC) では、AWS クラウドの論理的に分離されたセクションをプロビジョニングし、お客様が定義した仮想ネットワーク内の AWS リソースを起動することができます。自分の IP アドレス範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーキング環境を完全に制御できます。VPC では、リソースやアプリケーションに安全かつ簡単にアクセスできるよう、IPv4 と IPv6 を両方とも使用できます。

Amazon VPC のネットワーク設定は容易にカスタマイズすることができます。例えば、インターネットへのアクセスがあるウェブサーバーのパブリックサブネットを作成し、データベースやアプリケーションサーバーなどのバックエンドシステムをインターネットへのアクセスがないプライベートサブネットに配置できます。セキュリティグループやネットワークアクセスコントロールリストなどの強化されたセキュリティを活用し、各サブネットの Amazon EC2 インスタンスへのアクセスをコントロールできます。

AWS でホストされているサービスへの、簡単かつ安全な接続を提供します。

aws_privatelink_logo

利点

セキュア

Amazon VPC は、セキュリティグループやネットワークアクセス制御リストなどの高度なセキュリティ機能を提供し、インスタンスレベルおよびサブネットレベルで受信/送信に対してフィルタリングが可能です。加えて、Amazon S3 に格納したデータはアクセスを制限することができるので、VPC 内のインスタンスからのみアクセスを許可することも可能となります。必要に応じて、さらなる分離を目的としたカスタマーごとに占有ハードウェア上で実行するハードウェア専有インスタンスを起動することもできます。

シンプル

AWS マネジメントコンソールを使用して、VPC は迅速かつ簡単に作成することができます。一般的なネットワーク設定の中から、ご自分のニーズに最も合ったものを選択し、[Start VPC Wizard] をクリックします。 サブネット、IP 範囲、ルートテーブル、セキュリティグループは自動的に作成されるので、お客様は VPC で実行するアプリケーションの作成に集中することができます。

AWS のすべてのスケーラビリティと信頼性

Amazon VPC は、その他の AWS プラットフォームと全く同じ利点を提供します。リソースは即座に拡大/伸縮することができ、自分のアプリケーションに適した Amazon EC2 インスタンスの種類と数を選択して、実際に使用したリソース分のみ支払いが発生します。これらをすべて Amazon の実績のあるインフラストラクチャ内で行うことができるのです。

機能

複数接続のオプション

Amazon VPC には接続のさまざまなオプションがあります。パブリックにする AWS リソースおよびプライベートにしておきたいリソースに基づいて、VPC をインターネット、データセンター、またはその他の VPC に接続することができます。

  • インターネットに直接接続 (パブリックサブネット) – パブリックにアクセス可能なサブネットにインスタンスを起動することができます。インターネットからのトラフィックを送信/受信することができます。
  • ネットワークアドレス変換を使用してインターネットに接続 (プライベートサブネット) – プライベートサブネットは、インターネットから直接アドレス指定されたくないインスタンスに使用することができます。プライベートサブネット内のインスタンスは、パブリックサブネットのネットワークアドレス変換 (NAT) ゲートウェイを介してトラフィックをルーティングすることによって、プライベート IP アドレスを公開することなく、インターネットにアクセスできます。
  • 自社データセンターに安全に接続 – VPC 内のインスタンスへ、およびインスタンスからのすべてのトラフィックは、業界標準で暗号化された IPsec ハードウェア VPN 接続を通して、自社のデータセンターへルーティングすることができます。
  • 他の VPC (ピア VPC) と互いにプライベートに接続して、AWS アカウントまたはその他の AWS アカウントによって所有される複数の仮想ネットワークでリソースを共有します。
  • インターネットゲートウェイ、NAT、またはファイアウォールプロキシを使用せず、VPC エンドポイントを使って、プライベートに AWS のサービスに接続します。S3、DynamoDB、Kinesis Streams、Service Catalog、AWS Systems Manager、Elastic Load Balancing (ELB) API、Amazon Elastic Compute Cloud (EC2) API、SNS といった AWS サービスが利用できます。
  • AWS PrivateLink でサポートされる SaaS ソリューションにプライベートに接続します。
  • お客様自身の組織内で、さまざまなアカウントと VPC に内部サービスをプライベートに接続し、内部ネットワークアーキテクチャを大幅に簡素化します。
  • Amazon VPC トラフィックミラーリングを使用して Amazon EC2 インスタンスのネットワークトラフィックをキャプチャ、ミラーリングします。

ユースケース

シンプルなパブリックウェブサイトをホスト

ブログやシンプルなウェブサイトなどの基本的なウェブアプリケーションを VPC でホストすることで、Amazon VPC が提供する、より高度なプライバシーおよびセキュリティレイヤーのメリットを得ることができます。セキュリティグループのルールを作成することにより、ウェブサイトをセキュリティで保護することができます。セキュリティグループのルールは、ウェブサーバーがインターネットからの HTTP および SSL リクエストに応答するのを許可すると同時に、ウェブサーバーがインターネットへの接続を禁止することができます。Amazon VPC コンソールウィザードから [VPC with a Single Public Subnet Only] を選択して、このユースケースに対応する VPC を作成することができます。

多階層のウェブアプリケーションをホスト

Amazon VPC を使用して多階層のウェブアプリケーションをホストでき、ウェブサーバー、アプリケーションサーバー、データベース間のアクセスとセキュリティを厳密に管理することができます。パブリックにアクセス可能なサブネット、アプリケーションサーバー、データベースにあるウェブサーバーを、パブリックにアクセスできないサブネット内で起動できます。アプリケーションサーバーやデータベースにインターネットから直接アクセスすることはできません。ただし、例えば NAT ゲートウェイ経由でインターネットにアクセスしてパッチをダウンロードすることなどは可能です。ネットワークのアクセスコントロールリストおよびセキュリティグループが提供する受信・送信パケットのフィルタリングを使用して、サーバーとサブネット間のアクセスをコントロールすることができます。この使用例に対応する VPC を作成するには、Amazon VPC コンソールウィザードで [パブリックサブネットとプライベートサブネットを持つ VPC] を選択します。

データセンターに接続された AWS クラウドでスケーラブルなウェブアプリケーションをホスト

ウェブサーバーなど、一方のサブネット内のインスタンスがインターネットと通信し、アプリケーションサーバーなど、もう一方のサブネット内のインスタンスが企業ネットワーク上のデータベースと通信する VPC を作成することができます。VPC と企業ネットワーク間の IPsec VPN 接続により、クラウド内のアプリケーションサーバーとデータセンター内のデータベース間のすべての通信が保護されます。VPC 内のウェブサーバーとアプリケーションサーバーは、Amazon EC2 の伸縮性と Auto Scaling 機能を活用して、必要に応じて拡大縮小させることができます。Amazon VPC コンソールウィザードで [パブリックとプライベート サブネットおよびハードウェア VPN アクセスを持つ VPC] を選択して、この使用例に対応する VPC を作成することができます。

企業ネットワークをクラウドで拡張

企業内アプリケーションをクラウドに移行し、社内ネットワークに VPC を接続することにより、より多くのウェブサーバーを起動し、より多くのコンピュート能力をネットワークに追加することができます。VPC は企業のファイアウォールの内側でホストすることが可能なため、これらのアプリケーションに対するユーザーのアクセス方法を変更することなく、シームレスに IT リソースをクラウドに移行することができます。Amazon VPC コンソールウィザードで [プライベートのサブネットのみで、ハードウェア VPN アクセスを持つ VPC] を選択して、この使用例に対応する VPC を作成することができます。

災害対策

Amazon Elastic Block Store (EBS) ボリュームで、データセンターのミッションクリティカルなデータを数台の Amazon EC2 インスタンスに定期的にバックアップできます。または Amazon EC2 に仮想マシンイメージをインポートできます。お客様のデータセンターでの障害発生時には、AWS で迅速に代わりのホストを起動でき、ビジネスを確実に継続することができます。障害が解決したら、重要データをデータセンターに送り返し、不要な Amazon EC2 インスタンスを終了できます。Amazon VPC を災害復旧に使用すると、わずかな費用で災害対策サイトのすべての利点を得ることができます。

パートナー

「Big Switch Networks は Cloud-First Networking のグループ企業で、クラウドによるイノベーションをエンタープライズのネットワークとモニタリングにもたらすパイオニアです。当社の Big Monitoring Fabric (Big Mon) ソリューションでは可視化とモニタリングが可能で、クラウドファーストの設計原理が採用されています。エンタープライズが、セキュリティの向上とコンプライアンスが重要なアプリケーションのために、AWS のパブリッククラウドを迅速に導入できるよう支援します。Big Mon は Amazon VPC トラフィックミラーリング API と統合されています。単一の Big Mon コントローラーダッシュボードでエージェントなしのモニタリング、伸縮自在な可視化、トラフィックのフィルタリングを行えます。IT 組織は AWS とオンプレミス環境にまたがった通常のオペレーションワークフローを使用し、ハイブリッドクラウドに一貫性のあるモニタリングを導入するとともに、コストを削減し、セキュリティとコンプライアンスを強化し、運用 SLA を達成できます」

- Big Switch Networks、VP 兼最高製品責任者、Prashant Gandhi 氏

bigswitch-logo
Blue-Hexagon-Logo-Color (1)
「当社のお客様は、ディープラーニングを採用した脅威保護の大きな利点を活用しています。エンタープライズネットワークへの脅威をリアルタイムで阻止しています。当社のセキュリティ戦略を追求していくなかで、クラウド環境での脅威を検出するという能力が自然に身に付きました。Amazon VPC トラフィックミラーリングによって VPC トラフィック全体を可視化し、ディープラーニングに基づいた脅威保護のスピード、効力、対応範囲をすべての AWS トラフィックに適用できるようになります。Blue Hexagon のお客様は、単一のコンソールから、ネットワークとクラウド全体の脅威に対してディープラーニングによる一貫性のある検査をできるようになりました」

- Blue Hexagon、CTO 兼共同創設者、Saumitra Das 氏

「Cisco Stealthwatch Cloud は Amazon VPC フローログと共に、お客様のネットワークテレメトリーへのアクセス方法の 1 つとして Amazon VPC トラフィックミラーリングも完全にサポートするようになりました。トラフィックミラーリングによって、Stealthwatch Cloud は利用できるネットワーク情報が増えました。その他の AWS 環境テレメトリーと併用して実用的なセキュリティアラートを決定できるようになりました」

– Cisco Stealthwatch Cloud、Ron Sterbenz 氏

Print
corelight-horizontal-logo-rgb
「Corelight のセンサーは、ネットワークトラフィックをセキュリティオペレーションのために設計された豊富なログ、抽出ファイル、カスタムインサイトに変換します。Amazon VPC トラフィックミラーリングの採用で、Corelight はこの機能をクラウドにも適用できるようになりました。セキュリティチームが AWS 環境を詳細に可視化し、セキュリティを迅速に調査し、強力な新しい脅威検出機能を活用するよう支援できるようになりました」

- Corelight、最高製品責任者、Brian Dye 氏

「当社のお客様の多くがワークロードをクラウドに移行しています。ただし、今までクラウド移行は、パフォーマンスとセキュリティの観点からはブラックボックスでした。cPacket ソリューションは Amazon Virtual Private Cloud (Amazon VPC) のトラフィックミラーリング上に構築されており、盲点を排除し、完全な可視性を提供し、お客様によるスムーズなクラウド移行を実現します」

– cPacket Networks、CEO、Brendan O’Flaherty 氏

cPacket_logo_tagline_trans
Extrahop-Logo-Large-Transparent-Background_2013_11_26
「ExtraHop は、Amazon VPC トラフィックミラーリングと Reveal(x) Cloud を統合することで、エンタープライズがオンプレミスのトラフィックに対して今まで持っていたインサイトと同レベルのインサイトを提供し、クラウド導入への障壁を低くしています。可視性は常にセキュリティの要でした。Reveal(x) を AWS のネイティブなセキュリティ機能と組み合わせることで、これまで以上に実用的な可視性を得ることができます」

- 情報セキュリティ担当シニアディレクター、Mike Sheward 氏

「AWS のネイティブな Amazon VPC トラフィックミラーリング機能によって、EC2 インスタンスのあらゆる通信に Fidelis のネットワークトラフィック分析をすばやく適用することが容易になります。当社では Amazon と緊密に連携して統合試験を行い、Fidelis Network のセンサーは EC2 ネットワークのトラフィックを受け取れるよう完全に承認されました。クラウドアプリケーション、ワークロード、データベースに対する深い可視性とセキュリティモニタリングを強化するソリューションを提供できるようになりました」

- Fidelis Cybersecurity、製品管理担当 VP、Tim Roddy 氏

FID_Logo_RGB_Color_Positive_500
FEYE_RGB_two_color_for_light_bg
「FireEye Network Security and Forensics では、高度な脅威保護と違反検出を業界最速のロスレスネットワークデータキャプチャおよび取得ソリューションと組み合わせました。このソリューションでは、一元的な分析と可視化に加えて、非常に包括的な検出と可視化のソリューションセットを提供しています。Amazon VPC トラフィックミラーリングを使用することで、FireEye のお客様は、アセットがオンプレミス、クラウド、またはこの両方のハイブリッド環境にあるかにかかわらず、同じレベルのネットワーク詳細情報を確認できます」

- FireEye、ネットワークセキュリティ製品の管理担当副社長、Bill Cantrell 氏

「Amazon VPC トラフィックミラーリングはとても優れています。AWS クラウドで Flowmon Collector を実行している当社のお客様は、仮想パブリッククラウドのワークロードを数クリックで透過的な環境に変化させることができるようになり、オンプレミス環境と同じように、パフォーマンス上の問題を解決し、異常や脅威を検出できます」

- Flowmon Networks、最高技術責任者、Pavel Minarik 氏

Flowmon_bez_claimu
600x400_Gigamon
「パケットレベルの可視化は、ネットワークベースのセキュリティとパフォーマンス分析に最も効果的なアプローチです。Amazon VPC トラフィックミラーリングは非常に優れています。当社が共同で開発したソリューションでは、AWS 上でも、ハイブリッド環境でも、ネットワークトラフィックに対して完全な可視性を得られ、セキュリティとモニタリングツールスタックを最大限に活用できます。モダンなデジタルアプリケーションで成功するには、分散型デジタルアプリケーション間とその中でのトラフィックに関する知見を得ることが鍵となります」

- Gigamon、製品および技術マーケティング担当副社長、Bassam Khan 氏

「新しい Amazon VPC トラフィックミラーリング機能によって、IronDefense プラットフォームでは重要な仮想ネットワークデータにネイティブにアクセスできます。このため、AWS クラウドとエンタープライズネットワーク全体でネットワークの異常をシームレスにモニタリングし、高度な脅威アクターを特定できます。ハイブリッド環境をモニタリングし、独自の IronDome 集合的防御機能を使用し、クラウドと非クラウド環境全体について IronDefense の脅威に関するインサイトを自動的に業界に共有できる機能により、当社が企業、産業、国家を大規模に保護する能力が強化されました」

- IronNet、最高技術責任者、Michael Ehrlich 博士

New IronNet Primary Logo_web
Jask Master_Black_Horizontal_Transparent
「最新の SOC にはオンプレミスとクラウドのワークロードトラフィックに対する可視性が必要です。セキュリティアナリストは OSI モデルを通してネットワークデータをチェックして、脅威または進行中の攻撃がある可能性を明確に認識する必要があります。JASK ASOC にはネットワーク、ログ、Windows センサー、またクラウドツークラウドの取り込みのサポートが含まれます。AWS は Amazon VPC トラフィックミラーリングによって、顧客にクラウドのネットワークトラフィックへの可視性という価値を提供することで、パブリッククラウドの領域で主な革新企業であり続けています。この可視性によって、JASK ASOC での直接サポートが非常に重要なものになっています」

- JASK、CTO、Rob Fry 氏

「Kentik は Amazon が提供する豊富なデータソースを活用する AWS パートナーとして、Amazon VPC フローログによってネットワークトラフィックデータを詳しく説明し、相関関係を示すことができます。AWS タグと Amazon EKS Kubernetes サービスマッピングを活用してコンテキストを作成し、AWS インフラストラクチャのパフォーマンスと使用状況をリアルタイムで可視化できます。Amazon VPC トラフィックミラーリングのおかげで、Kentik の強力なネットワーク分析プラットフォームでは、エンタープライズとサービスプロバイダーにトラフィックを深く理解するためのさまざま方法を提供し、パフォーマンス、コスト、セキュリティの問題に対する実用的なインサイトを迅速に提供しています」

- Kentik、CTO、Jonah Kowall 氏、

kentik-black-small
NETSCOUT GCP Logo png
「NETSCOUT の革新的なスマートデータテクノロジーは、IT と SecOps の担当者がオンプレミスのデータセンターと AWS クラウドのインフラストラクチャ全体でアプリケーションのパフォーマンスを確保し、エンタープライズのセキュリティを改善できるようにしてくれます。Amazon VPC トラフィックミラーリングによって、ワイヤーデータにエージェントなしでアクセスできます。またこの機能により、NETSCOUT は AWS ハイブリッドクラウド環境でアプリケーションとセキュリティに関する「境界がない」可視性を効率的に提供できます。AWS での主要な NETSCOUT 機能には、強力な早期警告と、ネットワークとアプリケーションパフォーマンスに関する高速な問題トリアージ、セキュリティ脅威の管理があります」

- NETSCOUT Systems Inc.、最高運用責任者、Michael Szabados 氏

「Nubeva Prisms は Amazon VPC トラフィックミラーリングを補完して、AWS でクライアントとサーバーパケットストリームの高速でセキュアな復号を行います。Amazon VPC トラフィックミラーリングはワークロードからのネットワークトラフィックをコピーしてツールの送信先に送信しますが、Nubeva Prisms TLS Decryption Solution はキーを抽出、保存して、復号されたトラフィックをリアルタイムで Amazon VPC トラフィックミラーリングのツールの送信先に配信します。Amazon VPC トラフィックミラーリングと Nubeva Prisms TLS Decryption Solution を合わせると、完全な TLS 可視性とセキュリティを AWS パブリッククラウド全体にわたって提供できます」

- Nubeva、CEO、Randy Chou 氏

nubeva_logo_wide_1600_blue
PWP_Security_Palo Alto Networks
「エンタープライズは、デプロイの柔軟性と選択肢を損なうことのない、クラウドにおける一貫性のあるセキュリティが必要です。インラインでの脅威阻止機能に加えて、VM シリーズの仮想ファイアウォールと新たに発表された Amazon VPC トラフィックミラーリング機能との統合によって、アプリケーションの可視性のために帯域外でファイアウォールをデプロイして、AWS クラウドで高度な脅威検出を行う選択肢が可能になりました」

- Palo Alto Networks、製品管理担当の副社長、Mukesh Gupta 氏

「Riverbed の SteelCentral AppResponse Cloud は Amazon Virtual Private Cloud (Amazon VPC) のトラフィックミラーリングを使用し、AWS クラウドでネットワークとアプリケーションを詳しく可視化します。Riverbed は、IT オペレーションがクラウドとハイブリッドネットワークにおけるパフォーマンスの低下とレイテンシーの増加をすばやく指摘できるようにしてくれます。さらに、2,000 を越すアプリケーションを自動的に特定して詳細なアプリケーション分析を提供し、集合トラフィックにより迅速かつ簡単に問題を特定してトラブルシューティングを行います。当社は、デジタルエクスペリエンスとデジタルパフォーマンス管理ソリューションの業界リーダーとして、また Gartner Magic Quadrant for Network Performance Management and Diagnostics で 6 回リーダーの座を獲得した企業として、AWS と協力してこのように重要なソリューションを市場に出せることに誇りを持っています」

- SteelCentral、Riverbed、シニアバイスプレジデント兼ゼネラルマネージャー、Mike Sargent 氏

RVBD-Q118-OrangeLogo-RGB
RSA_Security_logo2.svg
「RSA NetWitness Platform によって、お客様は重要なインフラストラクチャの保護に必要な可視性を得られます。また、アナリストは高度な脅威を特定、理解、低減できます。RSA の NetWitness Platform と Amazon VPC トラフィックミラーリングの統合により、クラウド内のワークロードにより発生する可視性のギャップを埋めることができます」

- NetWitness Platform、製品担当の副社長、Mike Adler 氏

「エンタープライズが価値の高いデータとサービスをクラウドに移行する際、ビジネスに多大な損害を与えるサイバーリスクを軽減することは必須です。Amazon VPC トラフィックミラーリングを使用した Vectra Cognito プラットフォームによって、クラウドのコンポーネントへの攻撃を可視化し、脅威を完全に阻止し、インシデントに迅速に対応できます」

- Vectra、社長兼 CEO、Hitesh Sheth 氏

vectra-logo-w-security-that-thinks-tagline-pantone

Amazon VPC の使用を開始する

お客様の AWS リソースは、お客様専用に作成され、すぐに利用できるデフォルト VPC 内へ自動的にプロビジョニングされます。この VPC は構成を変更でき、サブネットの追加や削除、ネットワークゲートウェイのアタッチ、デフォルトルートテーブルの変更、ネットワーク ACL の修正が可能です。

追加の VPC を作成するには、AWS マネジメントコンソールの Amazon VPC のページで Start VPC Wizard ボタンを選択します。4 つの基本ネットワークトポロジーが表示されます。作成したいネットワークトポロジーに最も近いものを選択し、VPC 作成ボタンをクリックします。VPC が作成されると、VPC で Amazon EC2 インスタンスを起動して開始できます。

ブログ投稿と記事

Debugging tool for network connectivity from Amazon VPC
Bhavin Desai
 
2019 年 1 月 19 日
VPC sharing: A new approach to multiple accounts and VPC management
Evgeny Vaganov  
 
2019 年 1 月 11 日

Amazon VPC の詳細について

製品詳細ページを見る
構築準備が整いましたか?
Amazon VPC の使用を開始する
ご不明な点がおありですか?
お問い合わせ