« AWS上でセキュアなシステム構築と継続的デリバリを実現するための新しいトレーニングコースが始まります | メイン

【AWS発表】VPC向けのVPNのアップデート:NATトラバーサル、暗号オプション追加等

Amazon Virtual Private Cloud (VPC)を使うと論理的に隔離された場所をAWSクラウド内につくることができます。VPC内で、好みのIPアドレスレンジを決め、サブネットを作り、ルートテーブルを設定し、それを有効にできます。また、オンプレミス上のハードウェアVPNアプライアンスに対して、接続するようなネットワークゲートウェイを作ることが出来ます。
AWSクラウドで動作するVPNは、VPNゲートウェイあるいはVGWとして知られており、お客様のデータセンタ内のネットワークにあるカスタマーゲートウェイ(CGW)と接続します。
 
本日、VPNに幾つかの新機能を追加しました。
  • NATトラバーサルのサポート
  • 暗号オプションの追加
  • CGWのIPアドレスが再利用可能に
これら3つの新機能を有効にするためには、新たにVGWを作り、必要なパラメータと共に新たにVPNトンネルを作らなければなりません。
 
NATトラバーサルのサポート
 
ネットワークアドレス変換(NAT)はIPアドレスレンジを他のIPアドレスレンジに変換するマプを持っています。VPNルータがプライベートアドレスレンジのローカルネットワークにあり、インターネットに出るときに別のIPアドレスに変換されるときは、そのパブリックIPアドレスをCGWのIPアドレスとして動作させることは出来ません。VGWに接続するには、NATトラバーサルあるいはNAT-T を使わなければなりません。
NAT-Tは、オンプレミスのネットワークをNATデバイスの後ろに隠しつつ、VPCに接続できるようにします。
 
このマッピングはVPN接続が行われる際に自動的に行われます。AWSマネージメントコンソールに設定する必要はありません。NATデバイスのNATトラバーサル機能を有効にし、UDPポート4500番をつかえるようにFirewallを設定すればOKです。
 
暗号オプションの追加
 
これからは、複数の暗号オプションを使うことができます。
VPCにあるハードウェアVPNは、オンプレミスネットワークとVPNで接続されるとき、複数の異なった強度の暗号オプションを提示します。これからはAES256を、古くて弱いAES128に変わって使うように提示するようにできます。この新しいオプションを使うのであれば、受け取る側のデバイスでAES128を受け取らないように設定する必要があります。
 
2つのエンドポイント間では、ディフィー・ヘルマン鍵共有(DH鍵共有)プロトコルによって秘密を共有します。DHグループはキーのハッシュ強度の決定と共有に使われます。これからは、幾つものグループから選べます。
 
  • Phase 1ではDHグループ 2, 14-18, 22, 23, および24.
  • Phase 2ではDHグループ 1, 2, 5, 14-18, 22, 23, および 24.
 
VPN接続されたパケットはハッシュアルゴリズムをつかってベリファイされます。ハッシュが一致していれば、パケットがその途中で改ざんされていないことを示します。これからは、256ビットダイジェスト(SHA-256)を使ったSHA-2が使えます。
繰り返しますが、弱いアルゴリズムを使わないようにデバイスを設定してやらなければなりません。
 
CGWのIPアドレスが再利用可能に
 
これからは、CGWを作るたびにIPアドレスがユニークである必要はありません。言い換えると、使用しているIPアドレスを再利用可能ということです。複数のVPCを使っているユーザからたずねられていた機能で、私もまた使いたいと思っていたものです。
 
詳細は、FAQ および、VPC Network Adminstrator Guideをご覧ください。
 
Jeff;
本記事は、以下URLの翻訳です。翻訳は、荒木が担当しました。
 

コメント

Featured Event

2015年10 月

        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31