エンタープライズネットワーク

2019.12.27

Author:

クラウドとオンプレミス拠点間の接続方法について

昨今、企業のクラウドサービス利活用の需要が高くなっており、当社のお客様の中でもパブリッククラウド導入の検討が進んできています。

その中でクラウドサービス導入検討時は、ユーザが利用する際のトラフィック制御をどういった方式で行うかという点を考慮する必要があります。
SaaS型のサービスであれば、データセンタや本社などに置かれているインターネットゲートウェイにトラフィックを集約させて通信させるのか、拠点からインターネットブレイクアウトを行って直接通信させるのか、IaaS型のサービスであれば、ユーザ端末、拠点ルータ、専用線といった様々な接続ポイントがある中で、どこからVPNを張って通信させるのか。
そういったポイントを各企業のセキュリティポリシーとユーザが利用する上での快適性とを天秤にかけながら通信ポリシー設計を行っていく必要があると考えています。

今回はクラウド利用を始めるにあたってIaaS型のサービスに着目して書いていこうと思います。

■IaaSへの接続手段
IaaSはSaaSとは異なり、インフラ自体を提供する形をとっているためオンプレ拠点とクラウドとを繋ぐための様々な接続方法をサポートできるようにあらかじめ機能を提供しています。
接続方式は大きく分けて4種類存在していることが多いです。

1:クライアントVPN(Point to Site VPN)



ユーザのノートパソコンやスマートフォンといったエンドポイント端末からIaaSに対して直接VPNを張るクライアントVPNと呼ばれる方式があります。
この方式は拠点外の場所であってもインターネット接続さえあればユーザの端末から直接VPNを張ることが可能なため、手軽かつセキュアにIaaS環境を利用することが可能となります。
私自身プライベートでIaaSを利用する場合はこの方式で接続することが多く重宝しています。
ただし、利用するIaaSによって異なりますが、接続しているセッションごとに課金される仕組みや、同時接続上限数に制限がある場合があるため注意が必要です。

2:サイト間VPN(IaaS VPN Gateway)



各拠点に設置されているルータを用いてIaaS上で提供しているVPNゲートウェイとVPNを張るサイト間VPNといわれる方式があります。この方式はクライアントVPNとは異なり、VPNを張るセッション数を1本に抑えることが可能なため、接続コストを抑えることが可能になります。
また、様々なメーカのVPN製品にむけてIaaSと接続するために必要なコンフィグを自動で生成してくれるため、拠点側の機器に対する設定変更もスムーズに行うことができます。

3:サイト間VPN(3rd Party VPN Client)



2つ目のサイト間VPNに近い接続方法ですが、ユーザが自身で仮想ルータをIaaS上に設置し、拠点ルータと仮想ルータ間でVPNを張る方式があります。
この方式では普段から使い慣れたOSのVPNソフトをIaaS側でも利用することができるため、VPNを張る際に共通のコンフィグで運用が可能となり、万が一トラブルが発生した際の切り分けが容易になるため、IaaSに慣れていないエンジニアでも扱いやすいという利点があります。
この方式に関しては、自動的にIaaS上に仮想マシンを立てて拠点間VPNを張るような機能を有したSD-WAN製品も出てきているため、改めて当社の匠コラムで掘り下げていこうと思っています。

4:閉域接続


閉域網を利用したIaaSへ直接接続させる方式があります。
この接続方式は、「業務情報はインターネット上に出したくない」という企業に対してパブリッククラウドIaaS利用の敷居を下げる大きな要素となっています。
ただし、この方式を利用するためにはIaaSと閉域接続を行っているサービスプロバイダに対して、コロケーションを行うか、サービスプロバイダが提供している閉域接続サービスを利用する必要があるため、先に紹介した3種類の接続方式と比較すると接続までにかかる期間やコストが嵩んでしまう傾向にあります。

■最後に

クラウドベースのシステムはオンプレベースのシステムと比較して資産を持たずに利用できる手軽さや、運用保守にかかるコストが少なくなるメリットがあります。
ただし、外部のシステムを利用するという前提があるため、各企業のセキュリティポリシーによってユーザの利用できる機能が一部制限されてしまう場合があります。
もちろんビジネスでクラウドを利用するのであればセキュリティは重要ですが、行き過ぎたセキュリティポリシーは社員の生産性を阻害してしまうことに繋がりかねないと私は考えています。そのため、クラウド化を推し進める際には利用する社員の快適さも心の隅において検討を進めていく必要があると思います。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

注目ワード

MORE「エンタープライズネットワーク」記事