パブリッククラウドVPNのサービス比較（Alibaba Cloud / AWS / Azure / Google Cloud）

VPNとは

「VPN」とは「Virtual Private Network」の略で3単語それぞれの頭文字をとってVPNと呼ぶことが多いです。
VPNはパブリックネットワークの中に、仮想プライベートネットワークを作り出す / 拡張する技術で、専用線のような扱いができるため仮想専用線とも呼ばれています。
また、VPNは通信の暗号化がされており、なおかつ利用者が限定することができるため、一般的なLANや公衆LANからアクセスするのと比べてセキュアです。
利用する場面としては、社外から社内環境にアクセスする場合や、極秘情報等が含まれた環境にアクセスする場合に使用されることが多いです。
VPNにはいくつか種類があり、その中でもIPSec-VPN, SSL-VPNというVPNといった通信方法がよく使われています。

●IPsec-VPN
IPsec-VPNは「Internet Protocol Security」の略で複数の拠点LAN同士の通信を行う際に利用され、データパケットを暗号化するため高セキュリティであり、拠点間通信を行う際に最も採用されています。
IPSec-VPNはOSI参照モデル(OSI七階層モデル)のネットワーク層(レイヤー3)で動作します。

●SSL-VPN
SSLは「Secure Sockets Layer」の略でSSL-VPNはSSLの通信方式を利用し、クライアントPCとサーバ間でVPN通信を行う際に多く採用されています。また、SSL-VPNでは多要素認証ができるため、近年増えているテレワークでもSSL-VPNが採用されている場合が多いです。
SSL-VPNはOSI参照モデル(OSI七階層モデル)のセッション層(レイヤー5)で動作します。

パブリッククラウドでVPNを利用するメリット

VPNを利用する環境としては大きく分けてオンプレミスとパブリッククラウドがあります。
VPNを利用する場合としては、高いセキュリティレベルを求められる通信(社外環境から社内にアクセスをする場合や、顧客情報を扱う場合)に利用されることが多いです。
今回は、VPN、パブリッククラウドでVPNを使うメリットについて紹介します。

◆VPNを利用するメリット
・通信が暗号化されているため、セキュアな通信ができる
・専用線はコストが高いうえに基本的には1対1の通信しか出来ないが、VPNは低コストで複数拠点と通信をすることができる
・トンネルを使って通信をするため、改善や情報漏えいといった脅威から通信を守ることができる

◆オンプレミスVPNと比較してパブリッククラウドでVPNを利用するメリット
・VPN機器を導入する必要がない (SSL-VPN)
・設定方法がシンプル、なおかつ短時間で設定ができる
・VPN機器のメンテナンス等を行う必要がない
・日々さまざまな機能がリリースされ、最新の機能をすぐ利用できる

◆考察
VPNを利用することによってセキュアな通信が出来て、専用線を導入するより低価格で利用が出来ます。
VPNを導入する際には、データセンターに行って機器の設置や設定を行う必要がありますが、パブリッククラウドではデータセンターに行かず、コンソールで全ての設定を行うことが出来ます。
また、機器のメンテナンスもユーザが行う必要がなく、クラウドベンダが機器のメンテナンスをするため、利用ユーザが機器メンテナンスを行う必要がありません。
特にSSL-VPNでは、有知識者の方ではない方でも公式ドキュメントが分かりやすく設定方法を公開しているため、簡単に設定をすることが可能です。

パブリッククラウドのVPNについて

今回は、「Alibaba Cloud」「AWS」「Azure」「Google Cloud」のVPNについて紹介します。

●Alibaba Cloud
Alibaba Cloudでは「VPN Gateway」というプロダクト名でIPsec-VPNとSSL-VPNが提供されています。
VPN GatewayはActive/Standbyアーキテクチャで構成されており、Active機で障害が発生した際に、すぐにStandby機に切り替わる特徴があります。
Alibaba Cloud VPN Gatewayのドキュメント

●AWS
AWSでは「AWS VPN」というプロダクト名でAWS Client VPNとAWS Site-to-Site VPNが提供されています。AWS Client VPNはSSL-VPN, AWS サイト間 VPNのはIPsec-VPNです。
AWSのVPNでは利用ユーザの需要にあわせて自動的にスケールアップ、スケールダウンするフルマネージド型のVPNプロダクトです。
AWS VPNのドキュメント

●Azure
Azureでは「VPN Gateway」というプロダクト名でSite-to-Site VPNとPoint-to-Site VPNが提供されています。Point-to-Site VPNはIPsec-VPNでSite-to-Site VPNはSSL-VPN(Open-VPN)です。また、SSTPを利用することが出来ます。
Azure VPN Gatewayのドキュメント

●Google Cloud
Google Cloudでは「Cloud VPN」というプロダクト名でClassic VPNとHA VPNが提供されています。
Classic VPN と HA VPNはIPsec-VPNです。SSL-VPNはサポートされていません。現在は、一部のClassic VPN構成の利用は非推奨となっており、HA VPNの利用が推奨されています。HA VPNではIPv6トラフィックの転送がサポートされています。
Google Cloud VPNのドキュメント

各パブリッククラウドの仕様比較

各パブリッククラウドが提供しているVPNの仕様について紹介します。

※1 一部バージョンについてはSLAが異なります。 詳細はこちらから
※2 エンドポイントごとのサブネットの関連付けの数によって最大数が異なります。
※3 SLAとはService Level Agreementの略でサービスを提供する事業者が契約者に対して、サービスを保証する契約のことを指します。ここでは各クラウド毎月可用性に対しての％を記載しています。

◆考察
上記の表から分かる通り、各クラウドのSLAは99.9%以上となっており、特にGoogle Cloud HA VPNのSLAについては99.99%と最も高い数値となっております。Google Cloud HA VPN 99.99%のSLAはGoogle CloudのSLAに適応される構成である必要があります。また、各クラウド共通してIPsec-VPNを利用することが出来ますが、SSL-VPNが利用できるクラウドはAlibaba CloudとAWS、Azureとなっており、Google CloudではSSL-VPNが利用出来ないことが分かります。

各パブリッククラウドの課金 / 料金について

◆課金について
各クラウドの課金方式、課金項目について紹介します。

◆料金
各パブリッククラウドごとに料金計算ツールが公開されており、料金計算ツールで利用料金を確認することが出来ます。

●Alibaba Cloud
Price Calculator (料金計算)で基本料金の確認を行うことが出来ます。なお、VPN Gatewayの基本料金のみとなり、データ転送(トラフィック)料金については含まれておりません。
計算金額の単位はUSD(ドル)のみとなります。
Alibaba Cloud Price Calculatorのページ

●AWS
pricing calculatorの料金ページで基本料金の確認を行うことが出来ます。また、1日あたりの稼働(接続)時間や稼働日等から概算料金を確認することが出来ます。
計算金額の単位はUSD(ドル)のみとなります。
AWS VPNの料金計算のページ

●Azure
料金計算ツールで、データ転送量を含めた概算料金を確認することが出来ます。計算金額の単位はUSD(ドル)のみならず、円やユーロなどのさまざまな国の単位で金額を計算することが出来ます。
Azure 料金計算ツールのページ

●Google Cloud
Google Cloud Pricing Calculatorでトラフィック料金を含めた概算料金を確認することが出来ます。概算料金をEMAILやダウンロードをすることが出来ます。また、計算金額の単位はUSD(ドル)のみならず、円やユーロなどのさまざまな国の単位で金額を計算することが出来ます。
Google Cloud Pricing Calculatorのページ


◆考察
各クラウドとも課金方式は従量課金(Google Cloud IPsec-VPNトラフィック料金を除く)のみサポートされおります。各クラウドの課金項目はそれぞれですが、データ(トラフィック)転送料金は共通して課金項目に含まれています。また、各クラウドでは料金計算ツールが用意されており、基本料金を確認することが出来ます。AWS、Azure、Google Cloudについてはトラフィック料金を含めた概算金額を確認することが出来ます

パブリッククラウドVPNを選ぶポイント

Alibaba Cloud / AWS / Azure / Google Cloudの仕様、価格、課金方式について紹介しましたが、実際にどのクラウドのVPNを選ぶか迷うと思います。そこで、どのシナリオでパブリッククラウドを選ぶべきなのか紹介します。

◆ポイント1 : 利用したいVPN接続の種類から選択
パブリッククラウドごとにサポートされているVPN接続の種類が異なります。
まずは、利用したいVPNの種類から利用するパブリッククラウドを選択するとよいでしょう。
IPsec-VPNはご紹介した全てのパブリッククラウドで利用することが出来ますが、SSL-VPNはAlibaba Cloud / AWS / Azure(Open VPN)のみ提供されています。

◆ポイント2 : 利用するリージョンで選択
VPN接続を利用する国が提供されているパブリッククラウドを選ぶとよいでしょう。
特にAlibaba CloudはAWS / Azure / Google Cloudと比較して提供リージョンは少ないですが、13の中国リージョンを提供しているため、対中国で利用する際は、選択をするとよいでしょう。また、AWS / Azure / Google Cloudはアメリカリージョンをはじめヨーロッパや南米など世界各国にリージョンが提供されています。

◆ポイント3 : 利用ユーザの規模
VPNを利用するユーザ数でどのパブリッククラウドを利用するのか選ぶとよいでしょう。
特にAzureではIPsec-VPNの最大接続数がAlibaba Cloud / AWS / Google Cloudと比較して多く、AWSはSSL-VPNの最大接続数がAlibaba Cloud / Azure / Google Cloudと比較して最も多く接続することが出来ます。

さいごに

今回はパブリッククラウドのVPNの仕様や課金について紹介しました。
パブリッククラウドのVPNはオンプレミスのVPNと比べて短時間 / 低コストで導入が出来ます。また、VPN機器の設定 / メンテナンスをする必要がないため運用コストを抑えることが出来ます。
導入 / 運用コストを抑えたい、管理をシンプルにしたいといった問題を解決したい場合は、パブリッククラウドのVPNを導入することをお勧めします。

次回のBlogでは各パブリッククラウドの機能詳細や、設定方法について紹介予定です。

関連サービス