助け合いフォーラム
AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 33336
問題を開く
ある企業は、オンプレミス上で動作するシステムのバックアップデータをAmazon S3上に保存したいと考えている。バックアップデータはcsv形式で、毎日約9TBを転送する。このバックアップデータには機密情報が含まれているため、セキュアな方法で転送したい。
より安全性が高い方法で転送するには、どうすればよいか。
より安全性が高い方法で転送するには、どうすればよいか。
正解
AWS Direct Connectで接続し、AWS DataSyncを利用して転送する
解説
オンプレミスなどのユーザー環境からAWSへ接続する場合、通常はインターネット回線を経由します。しかし、インターネット回線は不特定多数の利用者と回線を共用するため、通信内容の傍受やデータの改ざんなどのリスクがあります。AWS Direct Connect(DX)はオンプレミスなどのユーザー環境からAWSへ、専用回線を使ってセキュアに接続するサービスです。インターネット回線ではなく専用回線を敷設して使用するので、安定した高速なネットワークで接続できます。
AWS DataSyncは、オンプレミスとAWS間、またはAWSストレージ間のデータ転送サービスです。対応するAWSのストレージにはAmazon S3やAmazon EFS、Amazon FSxなどがあります。オンプレミスとAWS間で通信するためには、オンプレミスにDataSyncエージェントを導入します。
本設問の場合、毎日9TBの機密データをオンプレミスからAWSへ転送するので、Direct Connectで接続してDataSyncを利用するのが、もっとも安全にデータを転送できます。
したがって正解は
・AWS Direct Connectで接続し、AWS DataSyncを利用して転送する
です。
その他の選択肢については、以下のとおりです。
・HTTPS通信でS3に転送する
・HTTPS通信でAWS DataSyncを利用して転送する
HTTPSで暗号化したとしてもインターネット回線は不特定多数の利用者と回線を共用するため、Direct Connectの専用回線の方が安全性が高いです。また、9TBのデータを転送する場合、通信速度1Gbps(伝送効率80%)の回線を使用した場合でも24時間以上かかってしまいます。
AWS Direct Connectを利用する方が適切なので、誤りです。
・AWS Snowballを利用して転送する
AWS Snowballはオンプレミスの多量のデータをAWSストレージへ転送するサービスです。利用者には大容量のストレージを備えた機器がAWSから貸し出され、移行対象のデータを機器へ取り込んでからAWSへ返送すると、データがAmazon S3へ保存される仕組みです。
AWS Snowballは物理的にデバイスを輸送するので、毎日転送するデータには適していません。よって誤りです。
AWS DataSyncは、オンプレミスとAWS間、またはAWSストレージ間のデータ転送サービスです。対応するAWSのストレージにはAmazon S3やAmazon EFS、Amazon FSxなどがあります。オンプレミスとAWS間で通信するためには、オンプレミスにDataSyncエージェントを導入します。
本設問の場合、毎日9TBの機密データをオンプレミスからAWSへ転送するので、Direct Connectで接続してDataSyncを利用するのが、もっとも安全にデータを転送できます。
したがって正解は
・AWS Direct Connectで接続し、AWS DataSyncを利用して転送する
です。
その他の選択肢については、以下のとおりです。
・HTTPS通信でS3に転送する
・HTTPS通信でAWS DataSyncを利用して転送する
HTTPSで暗号化したとしてもインターネット回線は不特定多数の利用者と回線を共用するため、Direct Connectの専用回線の方が安全性が高いです。また、9TBのデータを転送する場合、通信速度1Gbps(伝送効率80%)の回線を使用した場合でも24時間以上かかってしまいます。
AWS Direct Connectを利用する方が適切なので、誤りです。
・AWS Snowballを利用して転送する
AWS Snowballはオンプレミスの多量のデータをAWSストレージへ転送するサービスです。利用者には大容量のストレージを備えた機器がAWSから貸し出され、移行対象のデータを機器へ取り込んでからAWSへ返送すると、データがAmazon S3へ保存される仕組みです。
AWS Snowballは物理的にデバイスを輸送するので、毎日転送するデータには適していません。よって誤りです。
参考
【AWSへのセキュアな接続】
オンプレミスなどのユーザー環境からAWSへ接続する場合、通常はインターネット回線を経由します。しかしインターネット回線は不特定多数の利用者と回線を共用するため、通信内容の傍受やデータの改ざんなどのリスクがあります。このようなリスクを軽減し、AWSへセキュアに通信できるサービスが「AWS Direct Connect」と「AWS VPN」です。
【AWS Direct Connect】
AWS Direct Connect(DX)はオンプレミスなどのユーザー環境からAWSへ、専用回線を使ってセキュアに接続するサービスです。インターネット回線ではなく専用回線を敷設して使用するので、安定した高速なネットワークで接続できます。
Direct Connectは、Direct ConnectロケーションのDirect ConnectエンドポイントからAWSネットワークへの接続を保証しています。AWSユーザーはDirect Connectロケーション内にルーターを設置し、オンプレミスから専用線を引き込む必要があります。工事費用と時間をかけてでも、安定した通信と強固なセキュリティ環境を求めるケースに適しています。
○AWS Direct Connectロケーション
Direct Connectロケーションとは、オンプレミスとAWSのデータセンターとを相互に接続するポイントのことです。各リージョンに複数用意されており、ユーザーは接続するロケーションを選択できます。東京リージョン(ap-northeast-1)では、東京や大阪など5つのロケーションが用意されています(2022年1月時点)。
○AWS Direct Connectエンドポイント
Direct Connectエンドポイントとは、Direct Connectサービス提供範囲にあるオンプレミス側の終端のルーターのことです。Direct Connectロケーション内に物理的に設置されており、AWSユーザーが設置したルーターと接続します。
【Direct Connectを使用した接続の種類】
Direct Connectにはパブリック接続とプライベート接続があります。パブリック接続はS3やDynamoDBなどのVPC外にあるAWSリソースへの接続に利用します。プライベート接続はVPCに仮想プライベートゲートウェイ(VGW:Virtual Private Gateway)を配置し、VPC内のAWSリソースへ接続します。
【Direct Connectゲートウェイ】
Direct Connectのプライベート接続はDirect Connectエンドポイントと仮想プライベートゲートウェイを1対1で接続するので、通常は1つのVPCにしか接続できません。Direct Connectエンドポイントから複数のVPCに接続したい場合は「Direct Connectゲートウェイ」を利用します。
Direct ConnectゲートウェイはDirect Connectエンドポイントと仮想プライベートゲートウェイの間に配置されて、世界中の各リージョンにある複数のVPCへ接続できるようになります。なお、VPCは他のAWSアカウントのものであっても接続できます。
Direct Connectゲートウェイで接続した複数のVPCは、Direct Connectエンドポイントとの通信は可能ですが、Direct Connectゲートウェイ経由でVPC同士の通信はできません。VPC同士の通信を行う場合は、VPCピアリングもしくはAWS Transit Gatewayを利用します。なおVPCピアリングとTransit Gatewayの詳細は、分野「VPC」を参照してください。
【Direct Connectの高可用性の実現】
Direct Connectでは、オンプレミスから複数のDirect Connectロケーションへの接続をサポートしています。利用しているロケーションの障害に備えて複数のロケーションへ接続することで、可用性を高められるようになっています。
例えば、オンプレミス環境から東京に存在するロケーションと大阪に存在するロケーションへDirect Connectを接続することで、自然災害時の影響を少なくすることが期待できます。
【AWS VPN】
AWS VPN(Virtual Private Network)はオンプレミスなどのユーザー環境からAWSへ、インターネットVPN(※)でセキュアに接続するサービスです。AWS VPNではインターネット回線を利用するので、専用回線を敷設するDirect Connectよりも安価に、かつ短い期間で接続を開始できます。
※インターネットVPN … インターネット回線を使って拠点同士を仮想の専用線で接続し、暗号化通信を行う技術のこと。
【AWS VPNの種類】
AWS VPNには「AWS Client VPN」と「AWS Site-to-Site VPN」の2種類の接続方法があります。
■AWS Client VPN
AWS Client VPNは、パソコンなどの端末とVPCのClient VPNエンドポイントを、インターネットVPNで接続するサービスです。OpenVPNというVPNソフトウェアを利用しており、Windows、macOSだけでなくiOSやAndroidにも対応しています。Client VPNは機器の導入等が不要なので、手軽にセキュアな通信でAWSへアクセスできます。
■AWS Site-to-Site VPN
AWS Site-to-Site VPN(サイト間VPN)は、カスタマーゲートウェイ(オンプレミスのルーター)とVPCの仮想プライベートゲートウェイを、インターネットVPNで接続するサービスです。Site-to-Site VPNはインターネット上に仮想の専用線であるVPNトンネルを張り、IPsecという暗号技術を使って通信を保護します。
○AWS Site-to-Site VPNの高可用性の実現
AWS Site-to-Site VPNで使用する仮想プライベートゲートウェイとVPNトンネルは、機器障害に対する高可用性を保つためにAWS側で冗長化されています。一方、カスタマーゲートウェイはオンプレミス内の機器なので、高可用性を保つにはAWSユーザー側で冗長化する必要があります。
○AWS Site-to-Site VPNのネットワーク監視
VPNトンネルを経由したネットワークトラフィック情報は、Amazon CloudWatchで収集できます。CloudWatchには指定した仮想プライベートゲートウェイのVPNトンネルの状態、送受信したバイト数が記録されます。VPNトンネルの状態をCloudWatchで監視すれば、VPNトンネルに異常が発生した場合にアラームを出すことができます。
オンプレミスなどのユーザー環境からAWSへ接続する場合、通常はインターネット回線を経由します。しかしインターネット回線は不特定多数の利用者と回線を共用するため、通信内容の傍受やデータの改ざんなどのリスクがあります。このようなリスクを軽減し、AWSへセキュアに通信できるサービスが「AWS Direct Connect」と「AWS VPN」です。
【AWS Direct Connect】
AWS Direct Connect(DX)はオンプレミスなどのユーザー環境からAWSへ、専用回線を使ってセキュアに接続するサービスです。インターネット回線ではなく専用回線を敷設して使用するので、安定した高速なネットワークで接続できます。
Direct Connectは、Direct ConnectロケーションのDirect ConnectエンドポイントからAWSネットワークへの接続を保証しています。AWSユーザーはDirect Connectロケーション内にルーターを設置し、オンプレミスから専用線を引き込む必要があります。工事費用と時間をかけてでも、安定した通信と強固なセキュリティ環境を求めるケースに適しています。
○AWS Direct Connectロケーション
Direct Connectロケーションとは、オンプレミスとAWSのデータセンターとを相互に接続するポイントのことです。各リージョンに複数用意されており、ユーザーは接続するロケーションを選択できます。東京リージョン(ap-northeast-1)では、東京や大阪など5つのロケーションが用意されています(2022年1月時点)。
○AWS Direct Connectエンドポイント
Direct Connectエンドポイントとは、Direct Connectサービス提供範囲にあるオンプレミス側の終端のルーターのことです。Direct Connectロケーション内に物理的に設置されており、AWSユーザーが設置したルーターと接続します。
【Direct Connectを使用した接続の種類】
Direct Connectにはパブリック接続とプライベート接続があります。パブリック接続はS3やDynamoDBなどのVPC外にあるAWSリソースへの接続に利用します。プライベート接続はVPCに仮想プライベートゲートウェイ(VGW:Virtual Private Gateway)を配置し、VPC内のAWSリソースへ接続します。
【Direct Connectゲートウェイ】
Direct Connectのプライベート接続はDirect Connectエンドポイントと仮想プライベートゲートウェイを1対1で接続するので、通常は1つのVPCにしか接続できません。Direct Connectエンドポイントから複数のVPCに接続したい場合は「Direct Connectゲートウェイ」を利用します。
Direct ConnectゲートウェイはDirect Connectエンドポイントと仮想プライベートゲートウェイの間に配置されて、世界中の各リージョンにある複数のVPCへ接続できるようになります。なお、VPCは他のAWSアカウントのものであっても接続できます。
Direct Connectゲートウェイで接続した複数のVPCは、Direct Connectエンドポイントとの通信は可能ですが、Direct Connectゲートウェイ経由でVPC同士の通信はできません。VPC同士の通信を行う場合は、VPCピアリングもしくはAWS Transit Gatewayを利用します。なおVPCピアリングとTransit Gatewayの詳細は、分野「VPC」を参照してください。
【Direct Connectの高可用性の実現】
Direct Connectでは、オンプレミスから複数のDirect Connectロケーションへの接続をサポートしています。利用しているロケーションの障害に備えて複数のロケーションへ接続することで、可用性を高められるようになっています。
例えば、オンプレミス環境から東京に存在するロケーションと大阪に存在するロケーションへDirect Connectを接続することで、自然災害時の影響を少なくすることが期待できます。
【AWS VPN】
AWS VPN(Virtual Private Network)はオンプレミスなどのユーザー環境からAWSへ、インターネットVPN(※)でセキュアに接続するサービスです。AWS VPNではインターネット回線を利用するので、専用回線を敷設するDirect Connectよりも安価に、かつ短い期間で接続を開始できます。
※インターネットVPN … インターネット回線を使って拠点同士を仮想の専用線で接続し、暗号化通信を行う技術のこと。
【AWS VPNの種類】
AWS VPNには「AWS Client VPN」と「AWS Site-to-Site VPN」の2種類の接続方法があります。
■AWS Client VPN
AWS Client VPNは、パソコンなどの端末とVPCのClient VPNエンドポイントを、インターネットVPNで接続するサービスです。OpenVPNというVPNソフトウェアを利用しており、Windows、macOSだけでなくiOSやAndroidにも対応しています。Client VPNは機器の導入等が不要なので、手軽にセキュアな通信でAWSへアクセスできます。
■AWS Site-to-Site VPN
AWS Site-to-Site VPN(サイト間VPN)は、カスタマーゲートウェイ(オンプレミスのルーター)とVPCの仮想プライベートゲートウェイを、インターネットVPNで接続するサービスです。Site-to-Site VPNはインターネット上に仮想の専用線であるVPNトンネルを張り、IPsecという暗号技術を使って通信を保護します。
○AWS Site-to-Site VPNの高可用性の実現
AWS Site-to-Site VPNで使用する仮想プライベートゲートウェイとVPNトンネルは、機器障害に対する高可用性を保つためにAWS側で冗長化されています。一方、カスタマーゲートウェイはオンプレミス内の機器なので、高可用性を保つにはAWSユーザー側で冗長化する必要があります。
○AWS Site-to-Site VPNのネットワーク監視
VPNトンネルを経由したネットワークトラフィック情報は、Amazon CloudWatchで収集できます。CloudWatchには指定した仮想プライベートゲートウェイのVPNトンネルの状態、送受信したバイト数が記録されます。VPNトンネルの状態をCloudWatchで監視すれば、VPNトンネルに異常が発生した場合にアラームを出すことができます。
選択肢の回答について
v
v30tower
投稿日 2023/08/08
「毎日転送する」という前提条件が問題文から読み取れないため、ある程度の日数分をオンプレで蓄積しておいて定期的にSnowballで転送・・・とすると回答としては間違ってはいないのではないかと思いました。
どのみち面倒な作業で現実的ではなさそうですが。
スタッフからの返信
この投稿に対して返信しませんか?
s staff_satomi
2023/08/09 11:35
v30tower様 ご指摘の点を修正いたしました。 ご報告いただきまして、誠にありがとうございます。