Azure VPNとプロトコルの基礎
このドキュメントでは、VPN (Virtual Private Network) 技術の基礎となる主要プロトコルと、AzureにおけるVPN実装であるAzure VPN Gatewayの仕様について解説します。
1. VPNプロトコルの基本
VPNは、公衆網(インターネット)上に仮想的な専用線を構築し、安全な通信を実現する技術です。これを実現するために、様々なトンネリングプロトコルや暗号化プロトコルが使用されます。
IPSec (Internet Protocol Security)
IPSecは、IPパケット単位で暗号化と認証を行うプロトコルスイートです。主に拠点間接続(Site-to-Site VPN)で使用されますが、リモートアクセスでも利用可能です。
- IKE (Internet Key Exchange): 鍵交換プロトコル。
- IKEv1: 古い規格。メインモードとアグレッシブモードがある。
- IKEv2: IKEv1の改良版。接続確立が高速で、切断時の再接続性(MOBIKE)に優れる。AzureのルートベースVPNの標準。
- ESP (Encapsulating Security Payload): データの暗号化と認証を行う。
- AH (Authentication Header): データの認証のみを行う(暗号化はしない)。通常、VPNではESPが使われる。
OpenVPN
OpenVPNは、SSL/TLSプロトコルを利用したオープンソースのVPNソフトウェアおよびプロトコルです。
- 特徴:
- SSL/TLSを使用するため、HTTPS (443ポート) での通信に見せかけることができ、ファイアウォールを通過しやすい。
- 柔軟性が高く、多くのOS(Windows, Mac, Linux, iOS, Android)でサポートされている。
- Azureでは、ポイント対サイト (P2S) 接続でサポートされている。
SSTP (Secure Socket Tunneling Protocol)
Microsoftが開発したVPNプロトコルです。
- 特徴:
- SSL/TLS (TCP 443) を使用するため、OpenVPN同様にファイアウォール透過性が高い。
- Windows環境との親和性が非常に高い。
- Azure P2S接続でサポートされている。
2. Azure VPN Gateway の仕様
Azure VPN Gatewayは、Azure仮想ネットワーク (VNet) とオンプレミス拠点、または他のVNetとの間で暗号化されたトラフィックを送信するために使用される特定の種類の仮想ネットワークゲートウェイです。
VPNタイプ: ルートベース vs ポリシーベース
| 機能 | ルートベース (Route-based) | ポリシーベース (Policy-based) |
|---|---|---|
| IKEバージョン | IKEv2 (推奨) | IKEv1 |
| トラフィックセレクタ | Any-to-Any (0.0.0.0/0) | 特定のプレフィックスペア |
| 用途 | ほとんどの構成(P2S, VNet間, 複数サイト接続) | レガシーなオンプレミス機器との接続 |
| 共存 | ExpressRouteとの共存が可能 | ExpressRouteとの共存が不可 |
推奨: 特段の理由(古いオンプレミス機器の制約など)がない限り、ルートベースを選択してください。
SKU と世代 (Generation)
Azure VPN Gatewayには、パフォーマンスと機能に応じたSKUがあります。また、ハードウェア世代として Generation 1 と Generation 2 があります。
| SKU | 世代 | 最大トンネル数 | 最大スループット (概算) | BGP | ゾーン冗長 |
|---|---|---|---|---|---|
| Basic | Gen1 | 10 | 100 Mbps | 非対応 | 非対応 |
| VpnGw1 | Gen1 | 30 | 650 Mbps | 対応 | 非対応 |
| VpnGw2 | Gen1 | 30 | 1 Gbps | 対応 | 非対応 |
| VpnGw1AZ | Gen1 | 30 | 650 Mbps | 対応 | 対応 |
| VpnGw2 / VpnGw2AZ | Gen2 | 30 | 1.25 Gbps | 対応 | 対応(AZ) |
| VpnGw3 / VpnGw3AZ | Gen2 | 30 | 2.5 Gbps | 対応 | 対応(AZ) |
| VpnGw4 / VpnGw4AZ | Gen2 | 30 | 5 Gbps | 対応 | 対応(AZ) |
| VpnGw5 / VpnGw5AZ | Gen2 | 30 | 10 Gbps | 対応 | 対応(AZ) |
注意: Basic SKUはIKEv2やBGP、Entra ID認証などをサポートしていないレガシーSKUです。本番環境ではVpnGw1以上が推奨されます。
アクティブ/アクティブ構成 vs アクティブ/スタンバイ構成
- アクティブ/スタンバイ (デフォルト):
- 1つのパブリックIPを持つ。
- スタンバイインスタンスはバックグラウンドで待機し、障害時に切り替わる。切り替え時に数秒〜数分の断が発生する可能性がある。
- アクティブ/アクティブ:
- 2つのパブリックIPを持ち、2つのインスタンスが同時に稼働する。
- オンプレミス側も2つのVPNデバイス(またはデュアルWAN)を用意することで、より高い可用性を実現できる。
- スループットの向上も期待できる。
3. ポイント対サイト (P2S) 接続
個々のクライアントコンピュータからAzure VNetへの安全な接続を提供します。テレワークや管理者アクセスに適しています。
サポートされるプロトコル
- OpenVPN プロトコル:
- 最も推奨されるオプション。
- Azure AD (Entra ID) 認証、証明書認証、RADIUS認証をサポート。
- SSTP (Secure Socket Tunneling Protocol):
- Windowsデバイス向け。
- IKEv2 VPN:
- 標準ベースのIPSec VPNソリューション。
- Macデバイスなどで使用可能。
認証メカニズム
- Azure Active Directory (Entra ID) 認証:
- OpenVPNプロトコルでのみ利用可能。
- ユーザーはAzure ADの資格情報を使用してVPN接続できる。MFAも統合可能。
- Azure VPN Client アプリが必要。
- Azure 証明書認証:
- ルート証明書をAzureにアップロードし、クライアント証明書を各デバイスにインストールする方式。
- RADIUS 認証:
- オンプレミスのADやサードパーティの認証サーバーと連携する場合に使用。
まとめ
- サイト間接続 (S2S) には、IPSec (IKEv2) のルートベースVPNを使用するのが一般的です。
- リモートアクセス (P2S) には、OpenVPN プロトコルと Entra ID認証 の組み合わせが、セキュリティと使い勝手のバランスが良く推奨されます。
- 可用性が重要な場合は、ゾーン冗長SKU (AZ) と アクティブ/アクティブ構成 を検討してください。