🔐 Direct Connect暗号化

Site-to-Site VPNで実現するセキュアな専用線通信

🚛 配送便のセキュリティレベル

高速専用便 暗号化装甲 を追加して、速度とセキュリティを同時実現!

🤔 なぜDirect Connectに暗号化が必要?

⚠️ 重要な事実

AWS Direct Connect は暗号化されていません!
専用線でも プレーンテキスト で通信されるため、機密データには追加の暗号化が必要です。

🚛

Direct Connect のみ

🚀 高速専用便


速い・安定

暗号化なし

⚠️ 盗聴リスク


機密データには不適切

🔐

VPN のみ

🛡️ 暗号化一般便


完全暗号化

速度制限

変動する品質


高トラフィックには不十分

🚀

Direct Connect + VPN

🏗️ 装甲高速専用便


高速・安定

完全暗号化

冗長性


🎯 理想的なソリューション

🚛 配送システムで見るセキュリティレベル

🚛

シナリオ1: 専用便(暗号化なし)

Direct Connect のみの構成

🏢 会社
高速専用道路(暗号化なし)
🚛
☁️ AWS

⚠️ 高速だが、荷物の中身が丸見え(機密データリスク)

🔐

シナリオ2: 一般便(暗号化あり)

Site-to-Site VPN のみの構成

🏢 会社
インターネット(IPsec暗号化)
🔐
☁️ AWS

🛡️ 完全に暗号化されているが、一般道路なので速度制限あり

🚀

シナリオ3: 装甲専用便(最適解)

Direct Connect + VPN over Direct Connect

🏢 会社
専用道路 + IPsec装甲
🚀
☁️ AWS

🎯 高速専用道路 + 完全暗号化 = 理想的なセキュリティ

⚙️ 2つのVPN構成パターン

🔄 暗号化実現の2つのアプローチ

🌐 パターン1: 冗長性重視

Direct Connect + インターネット経由VPN


✅ メリット:

  • 完全な経路冗長性
  • 異なるISPによる分離
  • コスト効率が良い
  • 設定が比較的簡単

❌ デメリット:

  • VPNは暗号化されているがDCは非暗号化
  • 品質の異なる2つの経路

🔐 パターン2: 暗号化重視(推奨)

VPN over Direct Connect


✅ メリット:

  • 全トラフィックが暗号化
  • 高速・安定した暗号化通信
  • レイテンシの最小化
  • 同一品質の経路

⚠️ 注意点:

  • DC障害時は冗長性なし
  • 設定がやや複雑

🎯 最適解: ハイブリッド構成

VPN over Direct Connect + インターネット経由VPN
→ 暗号化と冗長性の両方を実現

🏗️ アーキテクチャ構成図

🔄 暗号化対応アーキテクチャ

🏢

オンプレミス

Customer Gateway

VPN対応ルーター
IPsec設定
BGP ASN: 65000
🔐 暗号化

🚀 VPN over Direct Connect

専用線 + IPsec暗号化

帯域幅: 10Gbps
暗号化: AES-256
⚠️ 非暗号化

🚛 Direct Connect のみ

専用線(暗号化なし)

帯域幅: 10Gbps
暗号化: なし
🔐 暗号化

🛤️ インターネット経由VPN

インターネット + IPsec暗号化

帯域幅: 1.25Gbps
暗号化: AES-256
☁️

AWS VPC

Virtual Private Gateway

IPsec Termination
BGP Route Control
Encryption Processing

🎮 暗号化方式体験デモ

各構成の暗号化レベルとパフォーマンスを体験してみましょう!

各構成ボタンをクリックして、暗号化レベルとパフォーマンスの違いを確認してください

📊 暗号化構成の比較表

構成
暗号化
性能
冗長性
コスト
Direct Connect のみ
❌ なし
✅ 最高
❌ なし
✅ 中程度
VPN のみ
✅ 完全
⚠️ 制限あり
⚠️ 限定的
✅ 最安
DC + インターネットVPN
△ VPNのみ
✅ 高い
✅ 完全
⚠️ 中程度
VPN over DC
✅ 完全
✅ 高い
❌ 限定的
⚠️ 中程度
ハイブリッド(推奨)
✅ 完全
✅ 最高
✅ 完全
❌ 最高

⚙️ 実装設定例

🔧 VPN over Direct Connect 設定例

🛣️ Direct Connect 基盤設定

  • VLAN: 専用VLAN作成
  • BGP: 基本ルーティング設定
  • 帯域幅: 暗号化オーバーヘッド考慮
  • MTU: 1500バイト(IPsec考慮)

🔐 IPsec VPN 設定

  • 暗号化: AES-256-GCM
  • 認証: SHA-256
  • PFS: DH Group 14以上
  • Keepalive: DPD有効化

📊 監視・運用設定

  • 暗号化状態: トンネル状態監視
  • 性能監視: 暗号化オーバーヘッド
  • ログ: IPsecネゴシエーション
  • アラート: 暗号化解除検知

🛡️ セキュリティ強化

  • 証明書: 定期的な更新
  • 鍵管理: ローテーション設定
  • アクセス制御: ACL適用
  • 監査: 暗号化ログ保存

🔧 Customer Gateway設定例 

# IPsec VPN設定(Cisco例)
crypto ikev2 proposal AWS-PROPOSAL
 encryption aes-cbc-256
 integrity sha256
 group 14

crypto ikev2 policy AWS-POLICY
 proposal AWS-PROPOSAL

crypto ikev2 keyring AWS-KEYRING
 peer AWS-VGW
  address 203.0.113.1
  pre-shared-key AWSSecretKey123

# IPsec Transform Set
crypto ipsec transform-set AWS-TRANSFORM esp-aes 256 esp-sha256-hmac
 mode tunnel

# Crypto Map
crypto map AWS-CRYPTO-MAP 10 ipsec-isakmp
 set peer 203.0.113.1
 set transform-set AWS-TRANSFORM
 match address VPN-TRAFFIC

# Interface設定
interface Tunnel1
 ip address 169.254.1.1 255.255.255.252
 tunnel source GigabitEthernet0/0
 tunnel destination 203.0.113.1
 tunnel mode ipsec ipv4
 crypto map AWS-CRYPTO-MAP

🛣️ BGP over IPsec設定例 

# BGP設定(暗号化トンネル経由)
router bgp 65000
 neighbor 169.254.1.2 remote-as 64512
 neighbor 169.254.1.2 description VPN-over-DirectConnect
 neighbor 169.254.1.2 timers 10 30
 neighbor 169.254.1.2 soft-reconfiguration inbound

 # 暗号化トラフィック用ルート
 address-family ipv4
  network 10.0.0.0 mask 255.255.0.0
  neighbor 169.254.1.2 activate
  neighbor 169.254.1.2 route-map ENCRYPT-POLICY out

# 暗号化対象トラフィック定義
ip access-list extended VPN-TRAFFIC
 permit ip 10.0.0.0 0.0.255.255 10.100.0.0 0.0.255.255
 permit ip 10.100.0.0 0.0.255.255 10.0.0.0 0.0.255.255

route-map ENCRYPT-POLICY permit 10
 set metric 100
 set community 65000:100

❓ よくある質問

🔐 なぜDirect Connectは暗号化されていないの?

専用線の設計思想によるものです!


🎯 Direct Connectの設計方針:

  • 物理的分離: 専用線なので他の通信と完全分離
  • 性能重視: 暗号化オーバーヘッドなしで最高性能
  • 柔軟性: 用途に応じて暗号化レベルを選択可能
  • コンプライアンス: 顧客側で暗号化方式を制御

🛡️ セキュリティの考え方:

  • 専用線自体が「物理的な暗号化」
  • 必要に応じてアプリケーション層やトランスポート層で暗号化
  • IPsec、TLS、データベース暗号化など選択肢が豊富

💡 重要なポイント:

金融機関や医療機関など、規制要件で暗号化が必須の場合は、VPNとの組み合わせが必要です。

⚡ 暗号化によるパフォーマンス影響は?

現代のハードウェアでは影響は最小限です!


📊 暗号化オーバーヘッド:

  • CPU使用率: AES-NIで5-10%程度
  • スループット: 90-95%の性能維持
  • レイテンシ: 1-3ms程度の増加
  • MTU: 20-60バイトのオーバーヘッド

🚀 性能最適化のコツ:

  • ハードウェア暗号化: AES-NI対応CPU使用
  • 専用デバイス: VPNアクセラレーター導入
  • MTU調整: Jumbo Frame対応
  • 暗号化方式: AES-GCMで処理効率化

💡 実例:

10Gbps Direct Connect + IPsec VPN の場合、実効スループットは約9Gbps程度となり、ほとんど影響はありません。

💰 暗号化対応でコストはどう変わる?

VPN追加で月額$72程度の増加です!


💸 コスト内訳(東京リージョン):

  • Direct Connect 10Gbps: $2,190/月
  • VPN Connection: $36/月 × 2 = $72/月
  • データ転送料: 既存と同額
  • 暗号化処理: 追加料金なし

🏗️ 機器・運用コスト:

  • VPN対応ルーター: 初期投資(数十万円)
  • 証明書管理: 年間数万円
  • 監視ツール: 月額数千円
  • 運用工数: 月5-10時間程度

📈 投資対効果:

  • コンプライアンス: 規制要件クリア
  • セキュリティ: データ漏洩リスク回避
  • 信頼性: 顧客・監査法人からの信頼向上
  • 保険: サイバー保険料の削減
🔧 設定は複雑?

初期設定は専門知識が必要ですが、テンプレート化できます!


🟢 比較的簡単な部分:

  • AWS側VPN作成: コンソールでポチポチ
  • 設定ダウンロード: 機種別テンプレート自動生成
  • 基本設定: コピー&ペーストで適用

🟡 注意が必要な部分:

  • IPsec パラメータ: 暗号化方式の選択
  • MTU設定: フラグメンテーション対策
  • ルーティング: BGP + IPsecの協調
  • 監視設定: 暗号化状態の確認

💡 成功のコツ:

  • 段階的導入: テスト環境で十分検証
  • ベンダー支援: ルーターベンダーのサポート活用
  • AWSサポート: プロフェッショナルサービス利用
  • 自動化: Infrastructure as Codeで標準化

🎯 まとめ

🔐 Direct Connect = 高速だが暗号化なし(専用線の信頼性)

🛡️ Site-to-Site VPN = 完全暗号化(IPsec保護)

🚀 VPN over DC = 高速 + 暗号化の理想的な組み合わせ

🏗️ ハイブリッド構成 = 暗号化 + 冗長性 + 高性能


この組み合わせで、 セキュリティと性能を同時に実現


🎯 導入を検討すべきケース:

  • 金融・医療: 規制要件で暗号化が必須
  • 機密データ: 個人情報や企業秘密を扱う
  • コンプライアンス: PCI DSS、HIPAA等の要件
  • 監査対応: 第三者監査で暗号化を求められる
  • リスク管理: データ漏洩リスクを最小化したい

Created by SSuzuki1063

AWS SAP Learning Resources