Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SORACOM Technology Camp 2018 | A5. すぐできる!閉域網

1,579 views

Published on

SORACOM Technology Camp 2018
A5. すぐできる!閉域網

株式会社ソラコム シニアエンジニア 松井 基勝

Published in: Technology
  • Hello! Get Your Professional Job-Winning Resume Here - Check our website! https://vk.cc/818RFv
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

SORACOM Technology Camp 2018 | A5. すぐできる!閉域網

  1. 1. すぐできる!閉域網 SORACOM Technology Camp 2018 A-5 株式会社ソラコム シニアエンジニア 松井基勝 2018/4/26
  2. 2. 本日のハッシュタグ #soracom @SORACOM_PR https://www.facebook.com/soracom.jp/
  3. 3. • 名前:松井 基勝 • 所属:株式会社ソラコム シニアエンジニア • 経歴:ゲーム開発→インフラエンジニア →クラウドエンジニア→IoTエンジニア • 著書(共著): NEW 3/13発売 3/14発売 自己紹介
  4. 4. • SORACOM ネットワーク関連サービスのおさらい • SORACOM Air の基本 • Canal : プライベート接続 • Direct : 専用線接続 • Door : 仮想専用線接続 • Gate : デバイスLAN接続 • VPG 便利機能紹介 • 閉域網導入事例紹介 • Canal / Gate 接続までの実演 • まとめ アジェンダ
  5. 5. SORACOM Airの基本
  6. 6. モバイルとクラウドが融合した IoT向け通信プラットフォーム SORACOM
  7. 7. IoTの課題 インターネット クラウドモノ 接続方法 セキュリティ
  8. 8. 接続方法 インターネットモノ ・有線LAN 場所の制約 ・無線LAN 事前設定が難あり ・3G/LTEの通信は便利 初期費用、通信費高い 長期固定契約
  9. 9. ソラコムでの解決策 インターネット クラウドモノ
  10. 10. SORACOM Airはモノをクラウドに直接繋げる
  11. 11. 専用線 基地局 モノ インターネット パケット交換 帯域制御 顧客管理 課金 AWS クラウド 3G/LTE SORACOM Air SIMカード API 必要に 応じて
  12. 12. SORACOM Air 基本ネットワーク構成 デバイス + 3G/LTE 基地局 交換局 クラウド インターネット データセンター サーバ ルータ ルータ インターネット ゲートウェイ 専用線接続 MNO設備 クラウド お客様設備
  13. 13. •デバイスにはデフォルトでは10.128.0.0/9 の範囲からプ ライベートIPアドレスが付与される •インターネットへと通信する際には グローバルIPアドレスにNATされる SORACOM Air 基本ネットワーク構成(2) SORACOM10.128.0.0/9 デバイスサブネット Internet 3G/LTE(GTP) NAT
  14. 14. •通信内容が盗み見られてしまうの では? •デバイスに外部からアクセスされて しまうのでは? •デバイスの認証情報が漏れてし まったら よく聞かれるセキュリティ上の懸念
  15. 15. SORACOMを活用したIoTシステムの場合 専用線 Beamで暗号化& 認証情報付加デバイスはSIMで認証 (サーバへの認証情報は 持たせない) State-full Firewallが デバイスへの直接通信 は遮断 AirでSORACOMと 安全な通信路SIMの耐タンパ性 デバイスの認証 情報を盗もう 間で通信を 盗み見よう デバイスにリモート アクセスしてやろう IoT バックエンド The Internet
  16. 16. • IoTバックエンドのエンドポイントを公開するリスク • デバイス側にマルウェア等が仕込まれることのリスク 残るセキュリティ上の課題 IoT バックエンド IoTバックエンドを 攻撃しよう デバイスにマルウェ アを仕込もう 情報漏えい 第3者への攻撃加担 サービス妨害 システム侵入 The Internet
  17. 17. The Internet に出ない 閉じたIoTシステムは作れないのか? IoT バックエンド
  18. 18. SORACOM CanalC プライベート接続サービス
  19. 19. SORACOM Canal AWS お客様 システム 直結 専用線 MNO設備 お客様のクラウド上のシステムとSORACOMの間で プライベートピアリング
  20. 20. • SORACOM Virtual Private Gateway (VPG)と お客様のVPCをPeering接続 SORACOM Canalによる接続詳細 Virtual Private Gateway (VPG) Type-C お客様のVPC AWS Tokyo region
  21. 21. • SORACOM Airとお客様のバックエンドとを 仲介するゲートウェイ • AWS VPC上に構築 • 接続先との重複可能性の低い IPアドレスレンジを使用 • 100.64.0.0/10から割当 • Internet Gatewayの有無を選択可 • 無し – 完全閉域網 • 有り – インターネットにも接続可 SORACOM VPGとは SORACOM Virtual Private Gateway (VPG) 100.x.y.0/24 (*) * 但し、x は 64から127の整数 Internet Gateway (Optional) Peering Connections
  22. 22. • AirのカスタムDNS機能でプライベート名前解決 • Beamでデバイス認証情報やタイムスタンプの付与 Airの各種オプションやBeamも併用可能 お客様のVPC AWS Tokyo region プライベートDNS データ収集サーバ +タイムスタンプ + IMSI カスタムDNS プロトコル変換
  23. 23. VPG利用の有無はGroupごとに設定可 VPGを設定しないGroup (default) VPGを設定したGroup SORACOM Virtual Private Gateway (VPG) お客様のVPC インターネットのみ通信可
  24. 24. •設定が反映されるのはセッション確立時 •接続が維持されている間は旧設定が維持 •接続中の端末に変更を反映させるには一旦切断 • 端末で: Airplane モード on/offなど • APIで: Delete Session API SORACOM Air VPG接続オプションの注意点
  25. 25. SORACOM Canal接続手順 1. VPGを作成 2. ピア接続を作成 3. VPC Peeringリクエストを送 信 4. VPC Peeringリクエストを承 諾 5. VPGをグループに紐付けし SIMをグループに紐付ける お客様 参考 https://dev.soracom.io/jp/start/canal/ SORACOM の操作 AWS の操作
  26. 26. • お客様のデバイスとクラウドを閉域網接続 • システムを外部公開する必要なし • デバイスと外部ネットワークとの通信を完全に遮断可 • AWS の主要リージョン上のVPCであればすぐに接続可 • 接続のための物理的工事等は必要なし • グローバルSIMもJPカバレッジSIMも同居可能 • Groupごとに接続先を切り替え可 SORACOM Canalの利点
  27. 27. IoTバックエンドがAWS外に ある場合はどうすればよいのか?
  28. 28. SORACOM DirectD 専用線接続サービス
  29. 29. SORACOM Direct AWS 専用線 MNO設備 AWS外の お客様システム専用線 お客様の任意のシステムと専用線による直接接続
  30. 30. • SORACOM Virtual Private Gateway (VPG)と お客様のシステムをAWS Direct Connectで接続 SORACOM Directによる接続詳細 Virtual Private Gateway (VPG) Type-D お客様の IoTバックエンド SORACOM Direct AWS Direct Connect (専用線)
  31. 31. SORACOM Direct接続手順 (2018/4現在) 1. 接続申し込み(Webフォーム) 2. Direct Connect接続先情報 (含 AWSアカウントID, VPC ID) 3. VIF作成・接続リクエスト 4. VIF接続受諾 5. SORACOM VPG 作成 6. VPGをグループに紐付けし SIMをグループに紐付ける お客様 SORACOM の操作 AWS の操作
  32. 32. VPG利用の有無はGroupごとに設定可 VPGを設定しないGroup (default) VPGを設定したGroup インターネットのみ通信可 Virtual Private Gateway (VPG) Type-D お客様の IoTバックエンド AWS Direct Connect
  33. 33. • 任意のバックエンドとお客様のデバイスを閉域網接続 • バックエンドを外部公開する必要なし • デバイスと外部ネットワークとの通信を遮断可 • AWS Direct Connectを使用して接続可 • 豊富な接続オプションとキャリアパートナー • 既存のDirect Connect接続があれば工事なしで利用可 • Groupごとに接続先を切り替え可 SORACOM Directの利点
  34. 34. 専用線ではなく 手軽なインターネットVPNで 閉域網接続出来ないか?
  35. 35. SORACOM DoorD 仮想専用線接続サービス
  36. 36. SORACOM Door AWS 専用線 MNO設備 AWS外の お客様システムInternet お客様の任意のシステムと インターネットVPNによる閉域網接続 VPN
  37. 37. • SORACOM Virtual Private Gateway (VPG)と お客様のシステムをAWSのVPN Connectionで接続 SORACOM Doorによる接続詳細 Virtual Private Gateway (VPG) Type-D お客様の IoTバックエンド SORACOM Door AWS VPN Connection (インターネットVPN)
  38. 38. SORACOM Door接続手順 (2016/7現在) 1. Webフォームから接続申し込み (IPアドレス、BGP AS番号など) 2. VPG作成・VPN設定情報提供 3. VPNルータ設定 VPGをグループに紐付け SIMをグループに紐付ける お客様 SORACOM の操作
  39. 39. •使用可能なVPN機器は、AWSのVPN接続仕様に準じる https://aws.amazon.com/jp/vpc/faqs/#C9 •一般的なルータであればほぼサポートされている •対応機種であれば、サンプルコンフィグファイルの提 供も可能 •LinuxやWindows等での接続も可能なので、 AWS以外のクラウドサービス(Azureなど) とも接続させる事も可能 対応機器
  40. 40. Canal/Direct/Door は どのように実現されているのか?
  41. 41. Virtual Private Gateway(VPG)
  42. 42. • 占有して使える仮想交換機 • 現在2種類のタイプが存在 • VPG Type-C : Canal 専用 • VPG Type-D : Direct/Door で使用 • 現状LPWAでは利用できない Virtual Private Gateway(VPG) VPG Type ピアリング接続 専用線/VPN接続 Type-C ○ × Type-D ○ ○
  43. 43. •AWS の VPC Peering 機能を利用して •デバイスからVPCまでプライベートIPで通信 Canal利用時のネットワーク構成 10.128.0.0/9 Device IP range 100.x.y.0/24 SORACOM VPC 3G/LTE(GTP) Internet NAT 172.31.0.0/16 Customer VPC VPC Peering
  44. 44. •AWS の Direct Connect 機能を利用 •デバイスから自社DCまでプライベートIPで通信 Direct利用時のネットワーク構成 10.128.0.0/9 Device IP range 100.x.y.0/24 SORACOM VPC Internet NAT 192.168.0.0/24 Customer DC 専用線 3G/LTE(GTP)
  45. 45. The •AWS の VPN Connection 機能を利用 •デバイスから自社DCまでプライベートIPで通信 Door利用時のネットワーク構成 10.128.0.0/9 Device IP range 100.x.y.0/24 SORACOM VPC Internet NAT 192.168.0.0/24 Customer DC IPsec VPN tunnel Internet 3G/LTE(GTP)
  46. 46. SORACOM Airで繋いだデバイスに外 からアクセスするにはどうしたらいいで すか? リリース以来よく聞かれた質問
  47. 47. •デバイスからVPC内サーバへはアクセス可能 デバイスからクラウドへのアクセス 10.128.0.0/9 Device IP range 100.64.0.0/16 SORACOM VPC NAPT Internet (AWS経由) NAT 172.31.0.0/16 Customer VPC 到達可能 ただし ソースIPは 100.64.x.x となる VPC Peering
  48. 48. •VPC内サーバからデバイスへはアクセス不可能 クラウドからデバイスへのアクセス 10.128.0.0/9 Device IP range 100.64.0.0/16 SORACOM VPC NAPT Internet (AWS経由) NAT 172.31.0.0/16 Customer VPC 到達不可能 (NAPTされているた め) VPC Peering
  49. 49. デバイスへの直接通信を実現するには?
  50. 50. SORACOMのネットワークポリシー 外部ネットワークからデバイスへの 直接通信は遮断 お客様サーバ 悪意ある攻撃者
  51. 51. お客様のデバイスとサーバだけが 自由に通信できるネットワークを作れないか? お客様 のシステム
  52. 52. SORACOM GateG デバイスLAN接続
  53. 53. お客様のシステム SORACOM Gate Internet 1つのLANに繋がっているかのように自由に双方向通信 - サーバからデバイス - デバイスからデバイス デバイスとクラウドを1つの大きな仮想サブネットに
  54. 54. SORACOM Gate デバイスとクラウドを1つの大きな仮想サブネットに Internet お客様のシステム Gate Virtual Subnet
  55. 55. SORACOM Gate 構成図
  56. 56. Gate 構成手順 Raspberry Pi USBドングル SORACOM Air VPG PC Internet Canal Gateway Server Customer VPCSORACOM VPC カメラ Tablet SORACOM Air 直接アクセス Gate経由 VXLAN sshリモートアクセス可能 Gate有効化 NAT有効化 経路設定 https://dev.soracom.io/jp/start/gate/ 「SORACOM Gate を使用してデバイスにアクセスする」
  57. 57. VPG関連機能のご紹介
  58. 58. • VPGを作成しなくても、手軽に SIM 間の通信を試したいという場合に使 える 共有VPG • SIMあたり1日5円で利用可能 • デバイスの緊急メンテナンス時などに一時的にGateを利用したい場合 に有効 • 第三者の SORACOM Air SIM からの通信もできてしまうので、必ずデ バイス側で認証する等セキュリティを確保する必要がある Public Gate
  59. 59. •Beam、Funnel、Endorse、Harvestのエンドポイント以外 にアクセスできない特別なVPG •SIMあたり1日5円で利用可能 •上記サービスを使うが、インターネットに接続する必要 がない場合には、セキュリティを高められる Private Garden
  60. 60. VPGカスタムIPアドレスレンジ VPGの新規作成時に IPアドレスレンジを指定する
  61. 61. デバイスIPアドレス固定機能 特定のIMSIに対して 固定のIPアドレスを 割り当てることが可能
  62. 62. VPG 固定グローバルIPアドレスオプション デバイスから企業内システム等へのアクセス制御に利用可能
  63. 63. 閉域網導入事例紹介
  64. 64. お客様事例: 東急不動産様 SORACOM Canalで SIMからシステムまで 閉域網で接続 iPad端末での ポイント付与情報を 閉域網でセキュアに送信
  65. 65. お客様事例:株式会社 小森コーポレーション SORACOM Canalで SIMからシステムまで 閉域網で接続 商業印刷機の稼働監視 ソリューションを提供
  66. 66. お客様事例:株式会社 小森コーポレーション
  67. 67. お客様事例: サトーホールディングス様 SORACOM Air/Doorで 設置先のインフラに依 存しないセキュアな サービスが提供可能に リモート監視で機器停 止を予防し安全稼働、 見える化による効率化 も実現 SATO Online Services 予防保守で安定稼働 プリンタの見える化で効率化
  68. 68. お客様事例: IHI様 SORACOM Gateで 閉域網でセキュアに通信 ガスタービン発電プラ ントのグローバル遠隔 運用支援
  69. 69. Canal/Gate セットアップ実演
  70. 70. 手順書 bit.ly/handsonCG •AWS環境の立ち上げ •SORACOM VPG の立ち上げ •SORACOM Canal の設定 •SORACOM Gate の設定 終了後のVPG削除をお忘れなく! Canal と Gate を使った環境の構築
  71. 71. まとめ
  72. 72. SORACOM User Group 本日開催 • 時間 18:00 – 20:00 • 参加費 500円 多数のライトニングトークや特別企画をご紹介!
  73. 73. Try! SORACOM チャレンジキャンペーン 〜記事を書いてノベルティをゲットしよう〜 期間:4月26日~6月30日 対象:企業・個人問わずどなたでも参加可能 内容:SORACOMを使った電子工作や、Deep Diveな記事を書いた方にクールなノベルティ をプレゼントします
  74. 74. 今日から IoT を始めよう! 体験キット本日販売中 Grove IoT スターターキット for SORACOM 7種類のGroveセンサーとSIMが搭載可能なデバイスで 素早くプロトタイピングが可能 (税抜価格:15,980円)
  75. 75. 開発者サイト・ブログのご紹介 https://dev.soracom.io/jp/ https://blog.soracom.jp/ 開発者サイト SORACOM ブログ 最新の技術情報アップデートをい ち早くお届けします 各サービスのGetting Startedを用 意しています
  76. 76. SORACOMの願い クラウド ⇒ 多くのビジネス、Webサービス SORACOM ⇒ 多くのIoTビジネス、システム たくさんの IoTプレイヤーが生まれますように
  77. 77. 世界中のヒトとモノをつなげ 共鳴する社会へ

×