Amazon Web Servicesは、Amazon Virtual Private Cloud(Amazon VPC)内のプライベートサブネットにホストされているアプリケーションからのコンテンツ配信を可能にする新機能、Amazon CloudFront VPC originsのリリースを発表しました。これにより、Webアプリケーションのセキュリティ保護が簡素化され、CloudFrontの高いパフォーマンスとグローバルなスケーラビリティを維持しながら、セキュリティを向上させ、ビジネスの成長に集中できます。
Amazon S3、AWS Elemental Services、およびAWS Lambda Function URLからコンテンツを提供する顧客は、Origin Access Controlをマネージドソリューションとして使用して、オリジンを保護し、CloudFrontをアプリケーションへの唯一のフロントドアにすることができます。しかし、Amazon EC2でホストされているアプリケーションやロードバランサーを使用しているアプリケーションでは、同じ結果を得るために独自のソリューションを作成する必要があったため、これを実現することはより困難でした。アクセス制御リスト(ACL)の使用、ファイアウォールルールの管理、ヘッダー検証などのロジックの使用、およびエンドポイントがCloudFront専用であることを保証するためのその他のいくつかの手法など、さまざまな方法を組み合わせて使用する必要がありました。
CloudFront VPC originsは、CloudFrontディストリビューションをプライベートサブネット内のApplication Load Balancers(ALB)、Network Load Balancers(NLB)、またはEC2インスタンスに直接ポイントするために使用できるマネージドソリューションを提供することにより、この種の差別化されていない作業の必要性を排除します。これにより、CloudFrontは最小限の構成作業でこれらのリソースへの唯一の入り口となり、パフォーマンスの向上とコスト削減の機会を提供します。また、パブリックIPアドレスの必要性もなくなります。
CloudFront VPC originsは追加費用なしで利用できるため、すべてのAWS顧客にとってアクセスしやすいオプションです。Amazon CloudFrontコンソールまたはAWSコマンドラインインターフェイス(AWS CLI)を使用して、新規または既存のCloudFrontディストリビューションと統合できます。
Webエクスプロイトから保護するためにAWS Web Application Firewall(WAF)、マネージドDDoS保護のためにAWS Shield、およびフルスペクトル保護を実現するためのその他のサービスなどのサービスを使用して、アプリケーションのセキュリティを階層化し続けることが重要です。
