みなさんこんにちは、私たちのインフラ用のVPNソリューションを探しています。複数のAWSアカウント(5つ)があり、すべてのリソースはほぼ同じで、多くのAWSサービスを利用しています。その中にはRDSも含まれています。開発者のIPアドレスをホワイトリストに登録することなく、安全にデータベースへアクセスしたいです。また、SOC2のようなセキュリティ証明書も目標としており、いくつかの選択肢を検討していました。OpenVPNが人気のようですが、私には適しているかどうか確信が持てません。私たちは複数のAWSアカウントを持ち、それぞれにVPCがありますが、すべて同じリージョンにあり(将来的には別のリージョンに展開予定です)、これをどのように設定すればいいでしょうか?
AWSには独自のVPNエンドポイントソリューションとクライアントがあります。SAML認証をサポートしており、IDPやRBACを介して異なるサブネットへのアクセスを統合できます。トランジットゲートウェイは、複数アカウントの全VPCをハブアンドスポーク方式で接続し、VPNエンドポイントがある1つのアカウントに集約します。私たちの組織では100人以上のユーザーが使っており、長年利用しています。動作は良好で、安定しており、メンテナンスもほとんど必要ありません。
Twingateは素晴らしいツールです。
AWSクライアントVPN、Tailscale、Firezone、Pritunlなどが妥当な選択肢です。Teleportも似たアクセス用途ですが、異なる機能を持ちます。
Pritunlは良い結果を出しています。
VPNの代わりにSSMを検討してください。
メリットは、リソースがパブリックサブネットに置かれておらず、ルーティングはAWSに任せられることです。
Wireguardは非常に設定が簡単です。トランジットゲートウェイやVPCピアリングを使って、Wireguardがホストされている場所へのトラフィックをルーティングできます。オンラインには多くのドキュメントがあります。
Tailscaleは設定が簡単で安全です。既存のIDプロバイダー(Google Workspace、Microsoft 365など)を認証に利用します。
Tailscaleのサブネットルーターソリューションは、開発者に対してRDSデータベースなどのプライベートサブネットへの安全なアクセスを提供します。
すべてのアカウントを接続するためにトランジットゲートウェイの設定を検討しましたか?
つい気になったのですが、なぜ誰もOpenVPNを推奨しなかったのですか?VPN市場では大手だと思っていました。
私たちは最近、1つのAWS組織で7つ以上のアカウントにPritunlを導入し始めました。これは素晴らしく、非常に安価で、OpenVPNに基づいており、設定も簡単です。ただし、ハブアンドスポークのVPCピアリングを使用すると非常に複雑になることに注意してください。Terraformのプロバイダーもあまり役に立ちません。
過去に戻れるなら、もっと管理されたTailscaleのような選択肢を試したいです。
AWSクライアントVPNの潜在的な大きな問題は、Linux対応は技術的には存在しますが、メンテナンスされていないことです。Ubuntu以外はサポートされておらず、20.04以降のバージョンにはサポートも追加されていません(約1年後にEoL)。現在のビルドは22.04やその他の新しいディストリビューションでは動作しません。サポートに問い合わせましたが、顧客からのクレームが一定数以上ない限りメンテナンスの予定はないとのことです。
他の方も言っているように、Linuxサポートはありません。私たちの会社では、最初AWS VPNエンドポイントを検討しましたが、LinuxやMacで接続できない社員がいたため中止しました。
その代わり、私たちは自分たちのライセンス付きのOpenVPN AMIインスタンスに移行しました。これまで問題はありません。
Twingateは設定が10分もかからず、非常に安定しています。2年以上使用しています。Terraformでの管理やSSO、SCIMの統合も非常に簡単です。
OpenZitiも選択肢です。Tailscaleと同様にゼロトラストのオーバーレイですが、VPNとは異なり、サービス接続に焦点を当てています。OpenZitiはオープンソースです。