ハイブリッドクラウドおよびエンタープライズ環境では、Cloud Enterprise Network (CEN) を使用してオンプレミスネットワークを VPC に接続することを推奨します。CEN は Express Connect 回線、Smart Access Gateway (SAG)、VPN などの接続タイプを使用し、クラウドサービスおよびセルフマネージドアプリケーションへのプライベートアクセスを提供します。個人のデバイスでは、SSL-VPN を使用して VPC に安全に接続し、クラウドリソースにアクセスすることを推奨します。
パブリックネットワークアクセスのセキュリティリスク
パブリックネットワークアクセスでは、サービスが DDoS 攻撃、リモートでの脆弱性悪用、資格情報漏えいによる不正アクセスにさらされる可能性があります。データセキュリティ、ネットワーク管理の一元化、コスト管理に関するエンタープライズ要件を満たすため、次のシナリオではプライベートネットワークアクセスが必要です:
-
ハイブリッドクラウドの連携:オンプレミスデータセンターを、専用線または VPN 経由で OSS や ECS などのクラウドリソースに接続し、データバックアップ、ディザスタリカバリ、アドレス計画のためにプライベートネットワークを統合します。
-
社内イントラネットアクセス:従業員が、ERP や OA などのクラウドにデプロイされた内部システム、および OSS などの Alibaba Cloud サービスにアクセスする際、データをインターネットに公開しません。
-
安全なリモートワーク:リモート従業員は、クラウドリソースにアクセスする前に VPN を介して社内イントラネットに接続し、セキュリティポリシーを統一し、インターネットからの直接ログインによるリスクを回避します。
-
サービス間アクセス:VPC 内の ECS インスタンスが Alibaba Cloud API を呼び出す場合、VPC エンドポイントを使用すると、セキュリティが向上し、レイテンシーが低減し、インターネットトラフィックコストを節約できます。
Alibaba Cloud は、プライベートネットワーク環境でほとんどの Alibaba Cloud サービスを利用できるプライベート接続ソリューションを提供しています。
ベストプラクティス
VPC エンドポイントを使用した ECS インスタンスから Alibaba Cloud サービスへのアクセス
ほとんどの Alibaba Cloud サービスは、パブリックエンドポイントと VPC エンドポイントの両方を提供しています。VPC 内の ECS インスタンスでは、VPC エンドポイントを使用してください。「内部ネットワーク経由で API を呼び出す方法」をご参照ください。
例:China (Hangzhou) リージョンの ECS インスタンスで Alibaba Cloud CLI を使用して ECS サービスにアクセスする場合は、VPC エンドポイントを指定する必要があります。
# --endpoint パラメーターで China (Hangzhou) リージョンの VPC エンドポイントを指定します
aliyun ecs DescribeZones --RegionId cn-hangzhou --endpoint ecs-vpc.cn-hangzhou.aliyuncs.com注:Alibaba Cloud の各サービスには、リージョンごとに独立した VPC エンドポイントがあります。リージョンをまたぐプライベートアクセスはサポートされていません。リージョン間のプライベート通信を有効にするには、リージョン間で VPC を接続し、ルートを設定してください。
注:VPC エンドポイントのドメイン名を名前解決すると、パブリック IP アドレスが返される場合があります。これは Alibaba Cloud が使用する仮想 IP アドレス (VIP) です。トラフィックはインターネットを経由せず、これらの VIP はインターネットからアクセスできません。
CEN を使用した企業ネットワークの VPC への接続
CEN は、企業イントラネットを VPC に接続し、Express Connect 回線、SAG、VPN などの接続タイプをサポートします。各接続タイプは、セキュリティ、信頼性、帯域幅のレベルが異なります。
次の図は、オンプレミスデータセンターを Alibaba Cloud Hangzhou リージョンに接続し、VPC とデータセンターのプライベートネットワーク間の相互アクセスを有効にする構成を示しています。「クラウドとオンプレミスネットワークの接続」をご参照ください。ルートを設定すると、企業イントラネットはインターネットを使用せずに Alibaba Cloud サービスの VPC エンドポイントにアクセスできます。

SSL-VPN を使用した個人デバイスの VPC への接続
SSL-VPN は個人デバイスを VPC に接続し、プライベートエンドポイントまたは VPC エンドポイントを介して、セルフマネージドサービスおよび Alibaba Cloud サービスにアクセスできるようにします (次の図に示すように)。詳細については、「SSL-VPN を使用した PC および Android クライアントの接続」をご参照ください。
Alibaba Cloud コンソールは VPC エンドポイントをサポートしておらず、インターネットからのみアクセスできます。