AWS PrivateLink の説明

AWS PrivateLink の説明

AWS 接続を実装しているお客様には、PrivateLink を含むさまざまな選択肢が用意されています。では、PrivateLink が最も適しているのは、どのような状況でしょうか?このプライベート接続の使用法と利点について詳しくご説明します。

AWS への接続では、さまざまなオプションを利用できます。主なオプションとしては、トランジット ゲートウェイ、VPC ピアリング、そして、弊社のブログでまだあまり取り上げていない AWS PrivateLink があります。しかし、PrivateLink が最良の選択となるのはどのような状況なのでしょうか?実装例にはどのようなものがあり、どのような利点があるのでしょうか?PrivateLink に関するすべての質問にお答えします。

AWS Direct Connect についてはおそらくご存知でしょう。これは、顧客の施設またはデータセンターから AWS へのプライベート ネットワークの接続に使用される方法で、特にクラウド内に構築されている顧客の VPC 環境への接続に使用されます。PrivateLink もこの一般的な選択肢と似ていますが、わずかな違いがあります。Direct Connect とは異なり、PrivateLink は AWS のネットワーキング構造として使用され、1 つの VPC (サービス プロバイダーの VPC) に常駐するサービス/アプリケーションを AWS リージョン内の他のコンシューマー VPC にプライベートに接続します。

Direct Connect について詳しく知りたい方は、エンタープライズ ガイドをお読みください。

その名の通り、PrivateLink は最もプライベートな AWS 接続方法と考えることができます。この特徴が、次のような多くの利点をもたらします。

  • **安全なトラフィック:**PrivateLink を使用するネットワーク トラフィックは、パブリック インターネットを通過することがないため、サイバーセキュリティ関連のさまざまな脅威への露出が抑えられます。プライベート IP 接続を使用できるため、プライベート ネットワーク上で直接ホストされているかのようにサービスが機能します。さらに、セキュリティ グループを関連付け、エンドポイント ポリシーをインターフェイス エンドポイントにアタッチして、指定したサービスにアクセスできるユーザーを正確に制御できます。
  • **簡素化されたネットワーク管理:**ファイアウォール ルール、パス定義、ルート テーブル、インターネット ゲートウェイ、VPC ピア接続、VPC CIDR 管理の構成を必要とせずに、さまざまなアカウントや Amazon VPC 間でサービスを接続できます。
  • **クラウド移行の加速:**データをインターネットから保護することで、従来のオンプレミス アプリケーションを PrivateLink を使用してクラウドでホストされている SaaS オファリングに簡単に移行でき、トラフィックを安全に保つことができます。
  • 自動化機能:Databricks などの SaaS をサポートする Terraform プロバイダーを使用することで、インフラストラクチャと構成管理を自動化し、より一層管理しやすく直感的な PrivateLink ワークスペースを展開できます。

AWS PrivateLink は、AWS システム内で動作して クラウド データを保護します。ソース:AWS

お客様が社内の AWS サービスまたはサードパーティの SaaS オファリングに接続しようとすると、オファリングの結果が推進要因である場合、接続オプションを把握するのが難しい場合があります。例えるなら、最初に土台について考慮することなく家を建てるようなものです。しかし、ありがたいことに、PrivateLink を介して利用できるさまざまなオファリングの検討は簡単に開始できます。

PrivateLink 経由で VPC 環境に統合できる組み込みの AWS ネイティブ サービスはたくさんあります。こちらで、そのようなサービスのリストを確認できます。このリストは、企業が確立する必要のある接続のタイプに PrivateLink が対応するかどうかの判断に役立ちます。AWS コンソールにログインしてから、VPC エンドポイント セクションを介してリージョン別に利用可能なサービスを調べることもできます。例えば、この記事の公開時点では、ap-southeast-2 (シドニー) リージョンだけでも、サービス名で利用できる AWS 組み込みサービスが 115 個あります。Amazon S3 (Simple Storage Service) ゲートウェイ/インターフェイス エンドポイントには、com.amazonaws.ap-southeast-2.s3 などの AWS リソース名 (ARN) を介してアクセスできます。インターフェイス エンドポイントとゲートウェイ ロード バランサー エンドポイントは AWS PrivateLink を利用しており、サービス宛てのトラフィックのエントリポイントとしてエラスティック ネットワーク インターフェイス (ENI) を使用します。

AWS 内の PrivateLink セットアップ画面にアクセスするには、AWS の「VPC」セクションに移動し、「エンドポイントの作成」を選択します。ここには 3 つのオプションがあります。1 つ目は「AWS サービス」で、VPC が配置されているリージョン内で利用可能なすべてのサービスのリストを表示でき、2 つ目は名前で検索できます。

最後のオプションは、SaaS トラフィックが VPC とプロバイダー間のパブリック インターネットを通過する必要なく、固有のグローバル ディストリビューション、ロード バランシング、その他の AWS サービスを利用しながら、他のソフトウェア ベンダーによって公開された Software as a Service (SaaS) オファリングを利用できるため、興味深いものです。SaaS から VPC への接続をオンプレミスとデータ センターのコロケーション サービスにさらに拡張できるため、企業が Direct Connect も使用している場合、これは優れたオプションとなります。これは、信頼性が低く、セキュリティで保護されていない可能性のあるインターネット接続を完全にバイパスできるだけでなく、プロセスで Direct Connect の出力コスト削減を活用できることを意味します。

PrivateLink を介して利用できる SaaS サービスの例を確認するには、こちらをクリックしてください。人気のある例としては、DatabricksSnowflakeDynatraceCisco Secure Cloud Analytics などがあります。また、AWS Technology Partner がサポートするオファリングのリストにアクセスして、この方法で利用できる最新のオファリングを確認することもできます。Megaport 対応の AWS Direct Connect サービスで機能する、クリックして展開できるソリューションについては、それぞれのリストで「AWS Private Link 対応製品」オファリングをお探しください。

SaaS 製品をお客様の AWS VPC とやり取りさせるべき理由はたくさんあります。あるレベルのアカウント間の相互作用の恩恵を受ける SaaS 製品の例は、多くの場合、ロギングとモニタリング、セキュリティ、コンプライアンス、リソース最適化、データ分析、DevOps ワークフローのカテゴリに分類されます。つまり、SaaS ワークスペースに PrivateLink を使用すると、エンタープライズ ガバナンス ポリシーの主要な要件を満たすのに役立ちます。

信頼できる AWS Technology Partner である Megaport のソフトウェア定義ネットワークは、AWS PrivateLink 接続を合理化して、プロビジョニングを高速化し、セキュリティを強化し、レイテンシを短縮します。これらの組み合わせにより、貴重なデータのセグメントをパブリック インターネット経由で信頼できないパスに送信することで妥協することなく、SaaS ワークロードの可視性を最大限に高める確実なトラフィック パスが提供されます。

Megaport を単一の相互接続ポイントとして使用することで、Megaport Cloud Router (MCR) を使用して AWS インスタンスを他のクラウド プロバイダーに接続し、Megaport Virtual Edge (MVE) で SD-WAN 統合パートナーの 1 つとブランチからクラウドへの AWS 接続を実現できます。

タグ:

関連記事

SWG と SD-WAN が連携する仕組み

SWG と SD-WAN が連携する仕組み

Gartner® Predicts 2022 によると、2025 年までに、企業の 40% が同じベンダーから SD-WAN とクラウド対応 Secure Web Gateway (SWG) を採用するとのことです。これは、2021 年 8 月 の 5% 未満からの増加になります。この予測が貴社にとって何を意味するかを解説します。 新型コロナウイルス感染症が蔓延した期間、多くの従業員が在宅勤務となりました。この人口動態とコンピューターおよびネットワークへの依存から、企業はネットワークのセキュリティと信頼性をさらに強化する必要がありました。 2025 年までに、約 22% のアメリカ人 (約 3,620 万人) がリモート ワーカーになる見込みです。これは、「パンデミック前の水準から 87% 増」という驚くべき数字です。 現在、リモート ワーカーが多い分野は、医療 (15%)、技術 (10%)、金融サービス (9%) ですが、そのすべてに破壊的なデータ漏洩に対する脆弱性がみられます。 この急激な変化によって、IT 部門の多くがネットワークのセキュリティ確保に頭を悩ませています。人為的なミスによって、ハッカーの思うつぼになることが多いからです。その要因は、パスワードの脆弱性、パッチの不備から、ネットワークへのアクセス権限があるユーザーの管理の甘さまで多岐にわたります。IBM Security の『Cost of a Data Breach (データ漏洩のコスト)』レポート (2021 年) によれば、リモート ワーカーが関与した可能性があるデータ漏洩件数は約 5% に過ぎませんが、リモート ワークがその原因の一部となってからの平均コストは 107 万ドルを超えたそうです。 医療保険請求事務所などのクローズド システムでは、ユーザーが内部ケーブルやその他のハードウェアを介して接続されたリモート アクセス仮想プライベートネットワーク (VPN) を通じてコンピューター ファイルにアクセスします。しかし、従業員が在宅勤務中に社内のソフトウェア定義ワイド エリア ネットワーク (SD-WAN) を介して会社のリソースにアクセスしていると、データは攻撃にさらされやすくなります。クラウドベースの Secure Web Gateway (SWG) を Secure Access Service Edge (SASE) の一部としてインストールすることで、このリスクを低減できます。

続きを読む
アクティブ/アクティブ AWS Direct Connect 接続を使用してネットワーク冗長性を実現する

アクティブ/アクティブ AWS Direct Connect 接続を使用してネットワーク冗長性を実現する

ミッションクリティカルなワークロードをクラウドに移動する場合、バックアップが強力な味方になります。

続きを読む
最適なネットワーク パフォーマンスにおける IX の役割を再考する

最適なネットワーク パフォーマンスにおける IX の役割を再考する

地域のインターネット エクスチェンジ (IX) が世界的に拡大するに伴い、企業はインターネット ピアリングの使用方法を見直す必要があります。それは、単なる IP トランジットのコストを下げる仕組みを超え、高パフォーマンス ネットワークの機能を解放するための鍵を握る可能性もあります。

続きを読む