ハイブリッドクラウドおよびエンタープライズクラウドのシナリオでは、Cloud Enterprise Network (CEN) を使用して、企業のイントラネットを Virtual Private Cloud (VPC) に接続できます。CEN は、Express Connect 回線、Smart Access Gateway (SAG)、VPN 接続などの接続タイプをサポートしています。この設定により、内部ネットワーク経由で Alibaba Cloud サービスまたは自己管理のプライベートサービスにアクセスできます。個人用デバイスの場合、SSL-VPN を使用して VPC に接続し、VPN 経由で Alibaba Cloud サービスまたは自己管理サービスにアクセスできます。
セキュリティリスク
Alibaba Cloud サービスは、パブリックネットワークアクセスを提供します。これにより、どのネットワークの場所からでもクラウドにアクセスして使用できます。自己管理サービスでパブリックネットワークアクセスを有効にすることも簡単です。パブリックネットワークアクセスは便利ですが、インターネットからの潜在的な攻撃にさらされることにもなります。これらの攻撃には、DDoS、リモートの脆弱性悪用、漏洩した認証情報を使用した不正アクセスなどがあります。データセキュリティ、統一されたネットワーク管理、コスト管理といった企業の中核的な要件を満たすために、多くのシナリオでは、インターネットではなくプライベートネットワーク経由で Alibaba Cloud サービスにアクセスする必要があります。
ハイブリッドクラウドコラボレーション: 専用回線または VPN を使用して、オンプレミスのデータセンターを Object Storage Service (OSS) や Elastic Compute Service (ECS) などのクラウドリソースに接続します。これにより、統一されたプライベートネットワーク環境が作成されます。この設定により、データバックアップ、ディザスタリカバリ、および統一されたアドレス計画が簡素化されます。
企業のイントラネットアクセス: 企業のイントラネット上の従業員は、ERP や OA システムなど、クラウドにデプロイされた内部システムにアクセスできます。また、OSS などの Alibaba Cloud サービスも使用できます。これにより、中核となるビジネス運用とデータがインターネットに公開されないようにします。
安全なリモートワーク: リモートワーカーは、クラウドリソースにアクセスする前に、まず VPN を介して企業のイントラネットに接続する必要があります。このアプローチにより、セキュリティポリシーが統一され、アカウントとパスワードを使用してインターネットから直接ログインするリスクが回避されます。
クラウド上のサービス間アクセス: VPC 内の ECS インスタンスが、自動スケーリングなどのために Alibaba Cloud サービス API を呼び出す場合、内部ネットワーク経由でアクセスすると、セキュリティが向上し、レイテンシーが短縮され、インターネットトラフィックコストが節約されます。
Alibaba Cloud は、企業や個人ユーザーが安全かつ効率的にクラウドに接続するのに役立つ、包括的なプライベート接続ソリューションを提供します。これらのソリューションにより、ほぼすべての Alibaba Cloud サービスをプライベートネットワーク環境で使用できます。
ベストプラクティス
VPC エンドポイントを使用して ECS インスタンスから Alibaba Cloud サービスにアクセスする
ほぼすべての Alibaba Cloud サービスは、パブリックエンドポイントと VPC エンドポイントを提供します。VPC 内の ECS インスタンスは、VPC エンドポイントを使用して Alibaba Cloud サービスにアクセスする必要があります。詳細については、「内部ネットワーク経由で API を呼び出す方法」をご参照ください。
例: 中国 (杭州) リージョンの ECS インスタンスで Aliyun コマンドラインインターフェイス (CLI) を使用して ECS サービスにアクセスする場合は、VPC エンドポイントを指定します。
# --endpoint パラメーターは、中国 (杭州) リージョンの VPC エンドポイントを指定します
aliyun ecs DescribeZones --RegionId cn-hangzhou --endpoint ecs-vpc.cn-hangzhou.aliyuncs.com注: Alibaba Cloud サービスには、各リージョンに独立した VPC エンドポイントがあります。リージョン間のプライベートネットワークアクセスはサポートされていません。リージョン間のプライベート通信を有効にするには、リージョン間で VPC を接続し、ルートを設定します。
注: VPC エンドポイントのドメイン名を解決すると、パブリック IP アドレスが返されることがあります。これは Alibaba Cloud が使用する仮想 IP アドレス (VIP) です。トラフィックはインターネットを経由せず、これらの VIP を使用してインターネットからサービスにアクセスすることはできません。
CEN を使用して企業ネットワークをクラウド VPC に接続する
ハイブリッドクラウドまたはエンタープライズプライベートクラウドのシナリオでは、企業のイントラネットをパブリッククラウド VPC に接続できます。これを行うには CEN を使用することをお勧めします。CEN は、Express Connect 回線、SAG (ゲートウェイアクセスのみ)、仮想プライベートネットワーク (VPN) など、複数の接続タイプをサポートしています。各タイプは、異なるレベルのセキュリティ、信頼性、および帯域幅を提供します。
次の図に示すように、企業のオンプレミスデータセンターは Alibaba Cloud 杭州リージョンに接続されています。この接続により、VPC とデータセンターのプライベートネットワーク間の相互アクセスが可能になります。詳細については、「クラウドとオンプレミスネットワーク間の通信を有効にする」をご参照ください。ルートを設定すると、企業のイントラネットも Alibaba Cloud サービスの VPC エンドポイントにアクセスでき、インターネット経由でこれらのサービスにアクセスするのを回避できます。
VPN を使用して個人用デバイスをクラウド VPC に接続する
SSL-VPN を使用して個人用デバイスをクラウド VPC に接続し、プライベートエンドポイントまたは VPC エンドポイントを介して自己構築サービスまたは Alibaba Cloud サービスにアクセスできます (次の図を参照)。詳細については、「SSL-VPN を使用してクライアントを VPC に接続する」をご参照ください。
現在、Alibaba Cloud コンソールは VPC エンドポイントをサポートしていません。インターネットからのみアクセスできます。