VPG の仕組み
Virtual Private Gateway(VPG)は以下のサービスで利用されます。
- Amazon Web Services(AWS)上のお客様のシステムとのプライベート接続 (VPC ピアリング接続、Transit Gateway 接続) を提供する SORACOM Canal
- 任意のクラウドやオンプレミスシステムとの専用線接続を提供する SORACOM Direct
- お客様のシステムを仮想専用線で接続する SORACOM Door
- SORACOM Air で接続された IoT デバイスとのデバイス LAN 接続サービスを提供する SORACOM Gate
- 透過型トラフィック処理サービス SORACOM Junction
- IP パケットキャプチャサービス SORACOM Peek
以下の機能は、上記のサービスの利用と合わせて、もしくは VPG 単体でも(ピアリング接続などの閉域網接続することなく)、ご利用いただけます。
- VPG アウトバウンドルーティングフィルター
- VPG 固定グローバル IP アドレスオプション
VPG アウトバウンドルーティングフィルター
VPG アウトバウンドルーティングフィルターでは、VPG からインターネット、ピアリング先や専用線、仮想専用線での接続先環境へのアクセスを IP アドレスレンジで許可/拒否できます。
例えばお客様は、デバイスが想定しているサーバーのみにアクセスを許可できます。意図していないサーバーへの通信を回避できます。
フィルタリングの設定
アウトバウンドルーティングフィルターを設定するをご確認ください。
IP アドレスレンジの指定 (API で指定する場合)
IP アドレスレンジの指定は、許可もしくは拒否する IP アドレスレンジで設定します。
例: 悪意のあるサイトのアドレスがわかっており、特定のアドレスレンジ(192.0.2.0/26)を宛先とする送信パケットをブロックしたい。
[
{
"action": "deny",
"ipRange": "192.0.2.0/26"
}
]
複数のレンジを指定できます。
例: 特定の IP 範囲のみを許可したい場合は、広範囲の IP アドレス (最も広い範囲は 0.0.0.0/0)に対して「拒否」ルールを設定し、ホワイトリストに登録する必要がある範囲に対して「許可」ルールを追加できます。たとえば、次のルーティングフィルタは、 192.0.2.128/25 宛てのパケットのみを許可します。
[
{
"action": "deny",
"ipRange": "0.0.0.0/0"
},
{
"action": "allow",
"ipRange": "192.0.2.128/25"
}
]
フィルター構成に重複する複数のエントリがある場合、最も長いプレフィックスを持つ IP 範囲のポリシーが適用されます。 たとえば、192.0.2.128/25 と 192.0.2.128/28 のフィルタエントリがある場合、192.0.2.130 への宛先は、192.0.2.128/28 のフィルタが適用されます。
VPG アウトバウンドルーティングフィルターを設定するをあわせてご確認ください。
他の SORACOM サービスとの併用
VPG アウトバウンドルーティングフィルターで制限した場合でも、SORACOM Beam, SORACOM Funnel, SORACOM Funk を利用して SORACOM プラットフォーム外へアクセスできます。
アウトバウンドルーティングフィルターとインターネットゲートウェイとの違い
VPG Type-F, Type-C は作成時にインターネットゲートウェイの ON / OFF を選択できます。アウトバウンドルーティングフィルターとの違いを解説します。
アウトバウンドルーティングフィルターでは 0.0.0.0/0 宛て通信を拒否した場合でも SORACOM Beam, SORACOM Funnel, SORACOM Funk を利用して SORACOM プラットフォーム外のサーバーやクラウドサービス、FaaS へ連携できます。そのため、アウトバウンドルーティングフィルターは直接のアクセスを拒否する機能として有用です。
一方でインターネットゲートウェイを OFF にした場合、SORACOM Beam, SORACOM Funnel, SORACOM Funk を利用してもインターネットへ出ることができません。そのため、インターネットゲートウェイの OFF は SORACOM Canal, SORACOM Door, SORACOM Direct を用いたプライベート接続を完全閉域にしたい際に有用です。なお、インターネットへのアクセスは拒否しますが、プライベート接続先へのアクセス制御はできません。プライベート接続に限定し、さらにプライベート接続でアクセスできる IP アドレスも制限するような場合は、インターネットゲートウェイ OFF とアウトバウンドルーティングフィルターの併用が有効です。また、SORACOM Beam でプライベート接続先のアドレスへの転送は可能です。
共通のポイントとして、インターネットゲートウェイが OFF の場合およびアウトバウンドルーティングフィルターで 0.0.0.0/0 宛て通信を拒否した場合でも、
SORACOM Air for セルラーからアクセスできるエンドポイント宛ての通信は可能です。DNS サーバー、NTP サーバーなどが利用できます。
インターネット宛て通信を拒否したい場合、どちらの機能を用いるかは以下を参考に検討してください。
以下のような場合は、アウトバウンドルーティングフィルターで 0.0.0.0/0 宛て通信の拒否が有用です。
- SORACOM Harvest Data, SORACOM Harvest Files を用いたデータやファイルの格納を利用し、インターネットへの直接接続は拒否
- SORACOM Beam, SORACOM Funnel, SORACOM Funk でサーバーやクラウドサービス、FaaS へ連携し、インターネットへの直接接続は拒否
- 一部の IP アドレス宛て通信のみアウトバウンドルーティングフィルターで個別に許可
以下のような場合は、インターネットゲートウェイ OFF が有用です。
- SORACOM Harvest Data, SORACOM Harvest Files を用いたデータやファイルの格納を利用し、SORACOM Beam, SORACOM Funnel, SORACOM Funk 経由でもインターネット接続は拒否
- SORACOM Canal, SORACOM Door, SORACOM Direct を用いたプライベート接続を利用し、SORACOM Beam, SORACOM Funnel, SORACOM Funk 経由でもインターネット接続は拒否
VPG 固定グローバル IP アドレスオプション
インターネット接続オプションありの VPG では、オプション機能としてインターネット出口側の IP アドレス (アクセス元 IP アドレス)を 2 つの IP アドレスに固定できます。また、この IP アドレスは他のユーザーの IoT SIM に利用される事はありませんので、安心して企業内システム等へのアクセス制御に利用できます。
この機能を有効化すると、その VPG を適用した SIM グループに含まれる IoT SIM からのアクセスは、必ず 2 つの IP アドレスのうちいずれかをアクセス元 IP アドレスとする通信となります。SIM の枚数が増えてもそのアクセス元 IP アドレスはあらかじめ VPG に割り当てられた固定の IP アドレスとなりますので、システム管理上の手間は最小限で済みます。
また、SORACOM Beam (以下 Beam) および SORACOM Funnel (以下 Funnel)をお使いである場合は、それぞれの通信のアクセス元 IP アドレスもこの IP アドレスからとなり、よりセキュアに Beam を利用できます。