VPG の仕組み
Virtual Private Gateway (VPG) は以下のサービスで利用されます。
- Amazon Web Services (AWS) 上のお客様のシステムとのプライベート接続 (Amazon VPC ピアリング接続、Transit Gateway 接続) を提供する SORACOM Canal
- 任意のクラウドやオンプレミスシステムとの専用線接続を提供する SORACOM Direct
- お客様のシステムを仮想専用線で接続する SORACOM Door
- SORACOM Air で接続された IoT デバイスとのデバイス LAN 接続サービスを提供する SORACOM Gate
- 透過型トラフィック処理サービス SORACOM Junction
- IP パケットキャプチャサービス SORACOM Peek
以下の機能は、上記のサービスの利用と合わせて、もしくは VPG 単体でも (ピアリング接続などの閉域網接続することなく)、ご利用いただけます。
- アウトバウンドルーティングフィルター
- 固定グローバル IP アドレスオプション
アウトバウンドルーティングフィルター
アウトバウンドルーティングフィルターでは、VPG からインターネット、ピアリング先や専用線、仮想専用線での接続先環境へのアクセスを IP アドレスレンジで許可/拒否できます。
たとえばお客様は、デバイスが想定しているサーバーのみにアクセスを許可できます。意図していないサーバーへの通信を回避できます。
フィルタリングの設定
アウトバウンドルーティングフィルターを設定する をご確認ください。
IP アドレスレンジの指定 (API で指定する場合)
IP アドレスレンジの指定は、許可もしくは拒否する IP アドレスレンジで設定します。
例: 悪意のあるサイトのアドレスがわかっており、特定のアドレスレンジ (192.0.2.0/26) を宛先とする送信パケットをブロックしたい。
[
{
"action": "deny",
"ipRange": "192.0.2.0/26"
}
]
複数のレンジを指定できます。
例: 特定の IP 範囲のみを許可したい場合は、広範囲の IP アドレス (最も広い範囲は 0.0.0.0/0) に対して「拒否」ルールを設定し、ホワイトリストに登録する必要がある範囲に対して「許可」ルールを追加できます。たとえば、次のルーティングフィルタは、192.0.2.128/25 宛てのパケットのみを許可します。
[
{
"action": "deny",
"ipRange": "0.0.0.0/0"
},
{
"action": "allow",
"ipRange": "192.0.2.128/25"
}
]
フィルター構成に重複する複数のエントリがある場合、最も長いプレフィックスを持つ IP 範囲のポリシーが適用されます。たとえば、192.0.2.128/25 と 192.0.2.128/28 のフィルタエントリがある場合、192.0.2.130 への宛先は、192.0.2.128/28 のフィルタが適用されます。
アウトバウンドルーティングフィルターを設定する をあわせてご確認ください。
他の SORACOM サービスとの併用
アウトバウンドルーティングフィルターで制限した場合でも、SORACOM Beam、SORACOM Funnel、SORACOM Funk を利用して SORACOM プラットフォーム外へアクセスできます。
アウトバウンドルーティングフィルターとインターネットゲートウェイとの違い
VPG Type-F、Type-C は作成時にインターネットゲートウェイの ON / OFF を選択できます。アウトバウンドルーティングフィルターとの違いを解説します。(なお、VPG Type-C は 2021 年 8 月より新規作成を停止しました。)
アウトバウンドルーティングフィルターでは 0.0.0.0/0 宛て通信を拒否した場合でも SORACOM Beam、SORACOM Funnel、SORACOM Funk を利用して SORACOM プラットフォーム外のサーバーや、パブリッククラウド、FaaS へ連携できます。そのため、アウトバウンドルーティングフィルターは直接のアクセスを拒否する機能として有用です。
一方でインターネットゲートウェイを OFF にした場合、SORACOM Beam、SORACOM Funnel、SORACOM Funk を利用してもインターネットへ出ることができません。そのため、インターネットゲートウェイの OFF は SORACOM Canal、SORACOM Door、SORACOM Direct を用いたプライベート接続を完全閉域にしたい際に有用です。なお、インターネットへのアクセスは拒否しますが、プライベート接続先へのアクセス制御はできません。プライベート接続に限定し、さらにプライベート接続でアクセスできる IP アドレスも制限するような場合は、インターネットゲートウェイ OFF とアウトバウンドルーティングフィルターの併用が有効です。また、SORACOM Beam でプライベート接続先のアドレスへの転送は可能です。
共通のポイントとして、インターネットゲートウェイが OFF の場合およびアウトバウンドルーティングフィルターで 0.0.0.0/0 宛て通信を拒否した場合でも、SORACOM Air for セルラーからアクセスできるエンドポイント 宛ての通信は可能です。DNS サーバー、NTP サーバーなどが利用できます。
インターネット宛て通信を拒否したい場合、どちらの機能を用いるかは以下を参考に検討してください。
以下のような場合は、アウトバウンドルーティングフィルターで 0.0.0.0/0 宛て通信の拒否が有用です。
- SORACOM Harvest Data、SORACOM Harvest Files を用いたデータやファイルの格納を利用し、インターネットへの直接接続は拒否
- SORACOM Beam、SORACOM Funnel、SORACOM Funk でサーバーやパブリッククラウド、FaaS へ連携し、インターネットへの直接接続は拒否
- 一部の IP アドレス宛て通信のみアウトバウンドルーティングフィルターで個別に許可
以下のような場合は、インターネットゲートウェイ OFF が有用です。
- SORACOM Harvest Data、SORACOM Harvest Files を用いたデータやファイルの格納を利用し、SORACOM Beam、SORACOM Funnel、SORACOM Funk 経由でもインターネット接続は拒否
- SORACOM Canal、SORACOM Door、SORACOM Direct を用いたプライベート接続を利用し、SORACOM Beam、SORACOM Funnel、SORACOM Funk 経由でもインターネット接続は拒否
固定グローバル IP アドレスオプション
インターネット接続オプションありの VPG では、オプション機能としてインターネット出口側のグローバル IP アドレス (アクセス元 IP アドレス) を固定できます。また、この IP アドレスは他のユーザーの IoT SIM に利用されることはありませんので、企業内システム等へのアクセス制御に利用できます。
この機能を有効化すると、その VPG を適用した SIM グループに含まれる IoT SIM からのアクセスは、必ず固定 IP アドレスのうちいずれかをアクセス元 IP アドレスとする通信となります。
また、Beam や Funk が転送先にリクエストを送る際のアクセス元 IP アドレスもこの IP アドレスに固定されるため、よりセキュアに利用できます。
詳しくは、固定グローバル IP アドレスオプションを利用する を参照してください。
Air for LoRaWAN および Air for Sigfox には適用できません。