2012年9月29日土曜日

他社のVPCへのVPNアクセスはOpenVPN経由にして自社ネットワークを守る

スズキです。

下記のようにVPCとOpenVPNについて書いてきましたが、
ようやくCDPネタにつながります。

今回の対象は「CloudHubパターン」です。




このパターンの「注意点」に
VPNゲートウェイに接続しているネットワーク(拠点)は
お互いに通信できてしまうので、アクセス制限が必要なら
各拠点のVPNルーターで行う必要がある。
といった記載があります。

下記のようにVPNゲートウェイにつなぐ拠点がすべて自社の場合は、拠点側のVPNの設定が
簡単になり、VPNハブがクラウド化により信頼性も高くなるので非常に有用なのですが、


メンテナンスなどで他社をVPNゲートウェイにつないでしまうと、他社のネットワークから
直接、自社のネットワークにアクセスできてしまいます。
すると、VPNなのに自社の拠点で他社からのアクセスを制限する設定が必要になってしまい
微妙な感じになってしまいます。


ということで一つの解決方法として、他社からのメンテナンスアクセスは、
VPNゲートウェイ経由ではなく下記のようにOpenVPNでインターネットゲートウェイ経由で
VPNを張り、対象インスタンスにアクセスする方法が考えられます。


この場合VPC内の"ルーティング"や"Network ACLs"、そして"セキュリティグループ"などで、
何らかの制限をかけることが可能になります。

上記の実現方法は、次の記事で詳しく紹介しています。
VPCのプライベートなサブネットにOpenVPNでVPN接続

OpenVPNだけじゃなくOpenswanも試して、IPhoneとつなげてみるか...
--------
http://www.suz-lab.com

0 コメント: