プロキシと VPN の違いは何ですか?
プロキシサーバーと仮想プライベートネットワーク (VPN) はどちらも、組織の内部企業ネットワークとパブリックインターネットの間の中間技術です。組織は、すべての送受信ネットワークトラフィックをプロキシサーバー、VPN、またはその両方を介してルーティングできます。プロキシサーバーはトラフィックソースを匿名化します。また、トラフィックの分散をサポートしたり、ネットワークデータパケットをスキャンして所定のセキュリティポリシーに照らしてチェックしたりすることもできます。対照的に、VPN は暗号化を使用して IP アドレスとデータの両方を隠すため、権限のないユーザーには読み取られません。どちらのテクノロジーも、組織のネットワークアーキテクチャの体制によって異なるユースケースに対応します。
プロキシサーバーはどのように機能しますか?
インターネット上のすべての通信は、データパケットを介して行われます。アプリケーションとユーザーデバイスは、リクエストとレスポンスの形式でデータを交換します。クライアントはサーバーの IP アドレスを使用して任意のアプリケーションまたはウェブサーバーにリクエストを送信し、サーバーはそのレスポンスをクライアントの IP アドレスに返します。
直接ネットワーク接続では、クライアントとサーバーの両方が互いの IP アドレスを知っています。ただし、プロキシサーバーはクライアントとサーバーの間に別のレイヤーを導入します。クライアント (フォワードプロキシ) またはアプリケーションサーバー (リバースプロキシ) の前にプロキシサーバーを使用できます。上記の方法は次のように機能します。
フォワードプロキシサーバー
フォワードプロキシサーバーを使用した場合のクライアントとサーバーの相互作用は次のとおりです。
- クライアントがウェブリクエストを送信すると、まずクライアントのプロキシサーバーに送信されます
- プロキシサーバーは、クライアントの IP アドレスを独自の IP アドレスに置き換えます
- プロキシサーバーはウェブリクエストをアプリケーションサーバーに転送します
- アプリケーションサーバーはリクエストを処理し、レスポンスデータをプロキシサーバーに送り返します
- プロキシサーバーは、レスポンスをクライアントに転送します
フォワードプロキシサーバーを使用する場合、サーバーは実際のクライアントを認識せず、プロキシがクライアントであると見なします。
フォワードプロキシサーバーは、社内のデバイスがクライアントである場合に役立ちます。例えば、従業員がインターネットを閲覧するとき、そのリクエストはプロキシを経由して他のサードパーティーアプリケーションに送られます。フォワードプロキシは、外部からプライベートネットワークデータを保護し、匿名化します。
リバースプロキシサーバー
リバースプロキシは、アプリケーションをホストするサーバーとエンドユーザーの間の中間サーバーです。リバースプロキシは、アプリケーションに到達する前に、すべての受信インターネットトラフィックを監視および傍受します。訪問者のトラフィックをスキャンして、不正なアクティビティがないか調べます。
ウェブ管理者は、特定のトラフィックソースをブロックするようにリバースプロキシを設定できます。リバースプロキシは、セキュリティポリシーに準拠するリクエストのみをアプリケーションサーバーに転送します。
リバースプロキシサーバーは、アプリケーションサーバーやデータベースサーバーのセキュリティ、匿名性、およびトラフィック分散管理をさらに強化します。
VPN の仕組み
仮想プライベートネットワーク (VPN) は、暗号化とプロキシサーバーを組み合わせて、より安全な通信チャネルを構築します。基盤となるテクノロジーは、クライアントのトラフィックを暗号化して VPN サーバーにルーティングします。VPN サーバーは、IP アドレスをさらに匿名化し、サードパーティーのウェブサイトにルーティングします。このような用途では、VPN サーバーはデータを暗号化する転送プロキシサーバーと考えることができます。
ただし、暗号化の設定方法によっては、VPN テクノロジーにはより高度な用途があります。組織はクライアントベースの VPN またはサイト間 VPN を使用できます。
クライアントベースの VPN
クライアントベースの VPN を使用するには、リモートデバイスに VPN クライアントアプリケーションをインストールします。次に、デバイスユーザーは VPN クライアントアプリケーションを使用して組織のネットワークに接続します。
VPN クライアントは、IPsec を使用してリモートユーザーとネットワーク間の安全な接続を確立します。IPSec は、標準の TCP/IP プロトコルに暗号化と認証を追加してセキュリティを強化する通信ルールまたはプロトコルのセットです。
クライアントベースの VPN は 2 つのエンドポイント間で送信されるすべてのデータを暗号化する、IPSec トンネルと呼ばれる暗号化された回線を設定して、ネットワークデータを保護します。実際には、リモートユーザーと組織のネットワークとの間にプライベートな通信トンネルが作られます。
サイト間 VPN
サイト間 VPN は、地理的に離れた場所が複数ある企業の内部プライベートネットワークとして機能します。IPsec を介してさまざまなイントラネットをシームレスかつ安全に接続できるため、組織内の従業員は異なる内部ネットワーク間でリソースを共有できます。サイト間 VPN は、イントラネット間にプライベート通信トンネルを作成します。
主な類似点: プロキシとVPN
プロキシサーバーと仮想プライベートネットワーク (VPN) はどちらも、組織のプライバシーとセキュリティを向上させます。従業員は、プロキシサーバーまたは VPN を使用して、安全かつ匿名でインターネットを閲覧できます。VPN とプロキシサーバーはどちらも、組織の内部 IP アドレスを匿名化します。
同様に、個人は VPN サービスを取得したり、プロキシサービスプロバイダーにサインアップして匿名でインターネットを閲覧したりできます。このような場合、VPN プロバイダーは個々のユーザーに暗号化されたトンネルを介してインターネットへのアクセスを許可し、プロキシサービスはユーザーのインターネットアクティビティをプロキシサーバー経由でルーティングします。マーケットには、個人ユーザー向けの無料のプロキシ接続と無料の VPN が数多くあります。
主な違い: プロキシとVPN
組織の場合、仮想プライベートネットワーク (VPN) は暗号化されているため、VPN サービスはプロキシサーバーよりも幅広い用途と機能を備えています。ほとんどの組織は、VPN とプロキシサーバーの両方ではなく、VPN のみを使用することを好みます。
次に、VPN とプロキシサーバーの主な違いについて説明します。
送信ネットワークトラフィック
フォワードプロキシ接続は、ユーザーがアクセスするウェブサーバーから従業員の IP アドレスを隠します。
VPN 接続では、ユーザーの IP アドレスと場所が隠されるため、ユーザーを識別できなくなります。同時に、IPsec によるエンドツーエンドの暗号化を使用しているため、インターネットサービスプロバイダー (ISP) や外部ルーターもユーザーデータにアクセスできません。権限のないサードパーティーは暗号化された通信を読み取ることができないため、従業員は機密データを安全に交換できます。
受信ネットワークトラフィック
リバースプロキシサーバーは、アプリケーションサーバーへのトラフィックをスクリーニングして制御できます。ただし、外部ソースからのトラフィック送信は引き続き許可されます。
VPN 接続では、許可されたトラフィックのみがネットワークに入ることができます。リモートアクセス VPN クライアントを搭載したデバイスのみが企業ネットワークにアクセスできます。これにより、受信接続をより細かく制御できます。
ロードバランシング
ピーク時には、アプリケーションサーバーがウェブリクエストに圧倒されることがあります。リバースプロキシサーバーはロードバランサーとして機能し、リクエストをバックアップサーバーに分散できます。
VPN にはロードバランシング機能はありません。
相違点の要約: プロキシとVPN
| プロキシ |
VPN |
|
| クライアントサーバー通信における役割 |
プロキシサーバーは、クライアントとサーバー間の通信を匿名化します。 |
VPN は、クライアントとサーバー間の通信を匿名化して暗号化します。 |
| 受信トラフィック |
リバースプロキシサーバーは、受信トラフィックをスクリーニングして配信します。プロキシサーバーに到達するトラフィックを制御することはできません。 |
VPN は、リモートデバイスにインストールされている VPN クライアントソフトウェアと企業ネットワーク間のトラフィックを暗号化します。誰がネットワークにアクセスできるかを制御できます。 |
| 送信トラフィック |
フォワードプロキシサーバーは、送信トラフィックを匿名化します。 |
VPN は送信トラフィックを匿名化して暗号化します。 |
| ユースケース例 |
リバースプロキシサーバーは、ロードバランシングとトラフィック分散をサポートします。 |
クライアント VPN を使用すると、リモートユーザーは組織のネットワークに安全に接続できます。 |
AWS はお客様の VPN またはプロキシサーバーの要件をどのようにサポートできますか?
Amazon Web Services (AWS) は、仮想プライベートネットワーク (VPN) またはプロキシサーバーの要件をサポートする多くのサービスを提供しています。
プロキシサーバー用の AWS のサービス
AWS Amplify ホスティングを使用すると、スケーラブルな最新のウェブコンテンツをデプロイしてホストできます。ウェブドメインを維持したまま、別の場所からコンテンツを書き換えることで、アプリケーションをリバースプロキシできます。
同様に、Amazon RDS Proxy は、Amazon Relational Database Service (Amazon RDS) 向けの高可用性フルマネージド型データベースプロキシで、アプリケーションのスケーラビリティやデータベースの耐障害性と安全性を高めます。
VPN 向けの AWS のサービス
AWS Client VPN は、ユーザー需要に合わせて自動的にスケールアップまたはスケールダウンする、フルマネージド型で伸縮自在な VPN サービスです。クラウド VPN ソリューションなので、ハードウェアやソフトウェアベースのソリューションをインストールして管理する必要はありません。また、一度にサポートするリモートユーザーの数を見積もる必要もありません。
同様に、AWS Site-to-Site VPN は、データセンターまたは支社と AWS クラウドリソース間の安全な接続を作成します。グローバルに分散されたアプリケーションの場合、AWS Global Accelerator と連携することにより、Site-to-Site VPN の高速化オプションはさらに優れたパフォーマンスを提供します。
今すぐアカウントを作成して、AWS でプロキシサーバーと VPN を使い始めましょう。
