主要パブリッククラウドのネットワークを徹底比較【第2回】AWSとSoftLayerのセキュリティ機能を比較、際立つ違いとは (1/2)

AWSとSoftLayerのセキュリティ機能とロードバランサー機能を比較する。セキュリティ機能では、ファイアウォールやIDS／IPS、WAFを取り上げる。

[鈴木智明，ビットサーフ]

　パブリッククラウドのネットワークにフォーカスし、主要サービスの仕組みや特徴、料金を比較する連載。第1回「AWSとIBM SoftLayerのネットワークを比較　仕組み、特徴の際立つ違いとは」では、「Amazon Web Services」（AWS）と「IBM SoftLayer」（SoftLayer）を取り上げ、それぞれのネットワークの仕組みを比較した。第2回では、AWSとSoftLayerのセキュリティ機能とロードバランサー機能にフォーカスし、比較、整理する。

関連記事

AWS vs. SoftLayerの記事

• サポートと転送量で徹底比較、AWS vs. IBM SoftLayer
• 市場シェアが語る「AWS」「Azure」「SoftLayer」のガチンコ対決模様

クラウドのネットワークを比較した記事

• AWSとGoogleのネットワーク性能を比較、意外な競合相手も登場し大接戦に

AWS、SoftLayerの解説記事

• AWSの3大ネットワーク機能を理解する
• 「プライベートVLAN」が素晴らしい、IBM「SoftLayer」の知られざる魅力

ハイブリッドクラウドのネットワーク

• 4パターンで理解する、ハイブリッドクラウドのネットワーク

1．セキュリティ機能

　昨今のセキュリティインシデントを踏まえ、企業がクラウドを選定する上でセキュリティ面は十分に考慮しておく必要がある。AWSやSoftLayerは、セキュリティ機能として、ファイアウォール（FW）、不正侵入検知システム（IDS）／不正侵入防御システム（IPS）機能、ウイルス対策、Web Application Firewall（WAF）、リモートアクセスなどがあり、サービスとして組み込まれているものもある。AWSとSoftLayerのセキュリティ機能の特徴や違いを見て行こう。

ファイアウォール機能

　AWSではインスタンスの仮想ファイアウォールとして「セキュリティグループ」が機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールする。また、ネットワークACLは関連付けられたサブネットのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をサブネットレベルでコントロールする。

表1　AWSが提供するファイアウォール機能一覧

サービス名	適用箇所	価格	特徴
セキュリティグループ	インスタンスレベルで動作	無償	「ステートフル」 ルールに関係なく、返されたトラフィックが自動的に許可
ネットワークACL	サブネットレベルで動作	無償	「ステートレス」 返されたトラフィックがルールによって明示的に許可

図1　AWSが提供するファイアウォール機能《クリックで拡大》

　一方、SoftLayerでは6種類のファイアウォールを利用することができる。スループットベースでオーダーするものが多く、オンプレミスでの考え方に近い。表2にSoftLayerが提供するファイアウォールの特徴をまとめた。

表2　SoftLayerが提供するファイアウォール一覧

サービス名	提供タイプ	適用箇所	金額	特徴
OS Firewall	専用	サーバ単体に適用	無償	Windows FW／iptables
Hardware Firewall	共用	サーバ単体に適用	有償	インバウンドのみ制御
Hardware Firewall Dedicatedモデル	専用	VLANに適用	有償	インバウンドのみ制御
Hardware Firewall HighAvailabilityモデル	専用	VLANに適用	有償	インバウンドのみ制御
FortiGate Security Appliance	専用	VLANに適用	有償	インバウンド／アウトバウンド制御
Gateway Appliances	専用	ゲートウェイタイプ	有償	インバウンド／アウトバウンド制御

図2　SoftLayerが提供するファイウォール機能《クリックで拡大》

IDS／IPS機能

　AWSではAWS Marketplaceを利用してIDS／IPS機能を有した製品を利用できる。システム要件にもよるが、スパイクアクセスなどクラウド環境で得意とするスケール性を考慮する場合は、米Fortinetや米CheckPointなどのゲートウェイ型の製品よりも「Trend Micro Deep Security」のようなホスト型の製品が多く採用されている。このような製品を導入する場合は、クラスメソッド、サーバーワークス、cloudpackに代表されるようなクラウドインテグレーター（CIer）が構築、運用サポートなどを提供している。購入したソフトウェアをライセンスを持ち込んで利用することも可能だ。

　一方、SoftLayerでは、Windowsサーバの月額課金モデルで、ホスト単位のサービスとして「McAfee Host Intrusion Protection with Reporting」が利用可能だ。専用サーバとして「FortiGate Security Appliance」が提供されているが、現状UTM（※1）としての利用はできない。また、例えばTrend Micro Deep SecurityのようなSoftLayer対応のソフトウェアをライセンス購入して持ち込みで利用することも可能だ。この場合、日本情報通信やビットサーフに代表されるようなSIerが構築、運用サポートなどを提供している。

※1　UTM（Unified Threat Management）：ファイアウォールやVPNゲートウェイの機能に加え、IDS／IPS、ウイルス対策、メールやWebコンテンツのセキュリティをチェックする機能などを搭載した統合的なセキュリティ装置のこと。

ウイルス対策機能

　AWSではAWS Marketplaceを利用してウイルス対策機能を有した製品を利用できる。Trend Micro Deep SecurityやMcAfeeウイルススキャンなどが採用されている。購入したソフトウェアをライセンス購入して持ち込んで利用することも可能だ。

　一方、SoftLayerではWindowsサーバの月額課金モデルでホスト単位のサービスとしてMcAfee Windows VirusScan Anti-Virusが無償で利用が可能だ。パターンファイルなどの更新はSoftLayerがアップデートサーバを提供している。また、例えばTrend Micro Deep Security のようなSoftLayer対応のソフトウェアをライセンス購入して持込みで利用することも可能だ。

Web Application Firewall（WAF）機能

　AWSではAWS Marketplaceを利用して米Impervaに代表されるようなWAFを利用できる。

　一方、SoftLayerでは専有サーバで「Citrix NetScaler」を利用することでWAFの利用が可能だ。ロードバランサーとしての利用も当然できる。WAFを利用するためにはライセンスが必要となる。

プライベートネットワークへのリモートアクセス機能

　AWSではAWS Marketplaceを利用してリモートアクセスVPN機能を有した製品を利用できる。しかし、専用ネットワークとしては構成されていない。

　一方、SoftLayerではSSL VPN／PPTP機能がユーザーアカウントごとに無償で利用可能だ。端末からSoftLayerの専用ネットワーク経由でプライベートネットワークに接続し、インターネットへ公開していないサーバへのメンテナンスができる。なお、メンテナンス用途のネットワークのため、パブリックネットワークと比べ帯域は狭く、大容量ファイルのアップロード／ダウンロードなどには適していない。

図3　SoftLayerのリモートアクセス機能《クリックで拡大》