Azure portal を使用してネットワーク セキュリティ グループをデプロイする
Azure のネットワーク セキュリティ グループ (NSG) を使用すると、Azure 仮想ネットワーク内の Azure リソースによって送受信されるネットワーク トラフィックをフィルター処理できます。 ネットワーク セキュリティ グループには、いくつかの種類の Azure リソースとの受信ネットワーク トラフィックまたは送信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。 各規則で、送信元と送信先、ポート、およびプロトコルを指定することができます。
NSG のセキュリティ規則
ネットワーク セキュリティ グループには、0 個、または Azure サブスクリプションの制限内の任意の数の規則が含まれています。 各規則では次のプロパティを指定します。
- 名前 - ネットワーク セキュリティ グループ内で一意の名前である必要があります。
- 優先順位 - 100 から 4096 の間の任意の値にできます。 規則は、優先順位に従って処理され、数値が小さいほど優先順位が高いために、大きい数値の前に小さい数値が処理されます。 トラフィックが規則に一致すると、処理が停止します。 この結果、優先順位低く (数値が大きい)、優先順位が高い規則と同じ属性を持つ規則は処理されません。
- 送信元または送信先 - すべて、個別の IP アドレス、クラスレス ドメイン間ルーティング (CIDR) ブロック (例: 10.0.0.0/24)、サービス タグ、またはアプリケーション セキュリティ グループに設定できます。
- プロトコル -TCP、UDP、ICMP、ESP、AH、または任意にできます。
- 方向 - インバウンドまたはアウトバウンド トラフィックに適用するように構成できます。
- ポート範囲 - 個別のポートまたはポートの範囲として指定できます。 たとえば、80 や 10000-10005 などと指定できます。 範囲を指定すると、作成するセキュリティ規則の数を減らすことができます。
- アクション - 許可または拒否に設定できます。
ファイアウォールは、5 つのタプル情報 (送信元、送信元ポート、宛先、宛先ポート、プロトコル) を使い、優先度順にネットワーク セキュリティ グループのセキュリティ規則を評価して、トラフィックを許可または拒否します。
既定セキュリティ規則
作成する各ネットワーク セキュリティ グループに、Azure によって次の既定の規則が作成されます。
| 方向 | 名前 | 優先順位 | ソース | 送信元ポート | Destination (公開先) | 宛先ポート | プロトコル | Access (アクセス) |
|---|---|---|---|---|---|---|---|---|
| 着信 | AllowVNetInBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Any | Allow |
| 受信 | AllowAzureLoadBalancerInBound |
65001 | AzureLoadBalancer |
0-65535 | 0.0.0.0/0 | 0-65535 | Any | Allow |
| 受信 | DenyAllInbound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | 拒否 |
| 発信 | AllowVnetOutBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Any | Allow |
| Outbound | AllowInternetOutBound |
65001 | 0.0.0.0/0 | 0-65535 | Internet |
0-65535 | Any | Allow |
| Outbound | DenyAllOutBound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Any | 拒否 |
次の図と箇条書きでは、インターネットとの間で TCP ポート 80 を経由してネットワーク トラフィックを送受信できるようにネットワーク セキュリティ グループをデプロイするさまざまなシナリオを示します。
受信トラフィックの場合、Azure は、最初にサブネットに関連付けられているネットワーク セキュリティ グループ内の規則 (存在する場合) を処理し、次に、ネットワークインターフェイスに関連付けられているネットワーク セキュリティ グループ内の規則 (存在する場合) を処理します。
- VM1:
Subnet1は NSG1 に関連付けられているため、セキュリティ規則が処理されます。また、VM1 はSubnet1にあります。 ポート 80 の受信を許可する規則を作成していない限り、DenyAllInboundの既定のセキュリティ規則でトラフィックが拒否され、NSG2 によって評価されることはありません。これは、NSG2 がネットワーク インターフェイスに関連付けられているためです。 NSG1 にポート 80 を許可するセキュリティ規則がある場合、NSG2 がトラフィックを処理します。 仮想マシンにポート 80 を許可するには、NSG1 と NSG2 の両方に、インターネットからのポート 80 を許可する規則が必要です。 - VM2:VM2 も
Subnet1にあるため、NSG1 の規則が処理されます。 VM2 はネットワーク インターフェイスに関連付けられたネットワーク セキュリティ グループを持たないため、NSG1 で許可されたすべてのトラフィックを受信するか、NSG1 によって拒否されたすべてのトラフィックが拒否されます。 トラフィックは、ネットワーク セキュリティ グループがサブネットに関連付けられている場合、同じサブネット内のすべてのリソースに対して許可または拒否されます。 - VM3:
Subnet2には関連付けられたネットワーク セキュリティ グループがないため、トラフィックはサブネットへの流入を許可され、NSG2 によって処理されます。これは、NSG2 が VM3 にアタッチされたネットワーク インターフェイスに関連付けられているためです。 - VM4:ネットワーク セキュリティ グループが
Subnet3、または仮想マシンのネットワークインターフェイスに関連付けられていないため、VM4 へのトラフィックが許可されます。 サブネットおよびネットワーク インターフェイスにネットワーク セキュリティ グループが関連付けられていない場合、すべてのネットワーク トラフィックがサブネットおよびネットワーク インターフェイスを介して許可されます。
送信トラフィックの場合、Azure は、ネットワーク インターフェイスに関連付けられているネットワーク セキュリティ グループ内の規則 (存在する場合) を最初に処理し、次にサブネットに関連付けられているネットワーク セキュリティ グループ内の規則 (存在する場合) を処理します。
- VM1: NSG2 のセキュリティ規則が処理されます。 インターネットへのポート 80 の送信を拒否するセキュリティ規則を作成しない限り、AllowInternetOutbound の既定のセキュリティ規則で NSG1 と NSG2 の両方のトラフィックが許可されます。 NSG2 にポート 80 を拒否するセキュリティ規則がある場合、トラフィックは拒否され、NSG1 によって評価されることはありません。 仮想マシンのポート 80 を拒否するには、ネットワーク セキュリティ グループのいずれかまたは両方に、インターネットへのポート 80 を拒否する規則が必要です。
- VM2:VM2 にアタッチされているネットワーク インターフェイスにはネットワーク セキュリティ グループが関連付けられていないため、すべてのトラフィックはネットワーク インターフェイスを介してサブネットに送信されます。 NSG1 の規則が処理されます。
- VM3: NSG2 にポート 80 を拒否するセキュリティ規則がある場合、トラフィックは拒否されます。 NSG2 にポート 80 を許可するセキュリティ規則がある場合、ネットワーク セキュリティ グループが
Subnet2に関連付けられていないため、ポート 80 はインターネットへの送信を許可されます。 - VM4:ネットワーク セキュリティ グループが仮想マシンにアタッチされたネットワーク インターフェイスまたは
Subnet3に関連付けられていないため、VM4 からのすべてのネットワーク トラフィックは許可されます。
アプリケーション セキュリティ グループ
アプリケーション セキュリティ グループ (ASG) を使用すると、アプリケーションの構造の自然な拡張としてネットワーク セキュリティを構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。 明示的な IP アドレスを手動でメンテナンスせずに、大きなセキュリティ ポリシーを再利用することができます。 プラットフォームが明示的な IP アドレスと複数の規則セットの複雑さを処理するので、ユーザーはビジネス ロジックに専念することができます。
必要なセキュリティ規則の数と、規則を変更する必要性を最小限に抑えるには、必要なアプリケーション セキュリティ グループを綿密に計画し、できる限り個々の IP アドレスまたは IP アドレスの範囲ではなく、サービス タグまたはアプリケーション セキュリティ グループを使用して規則を作成します。
Azure portal を使用して NSG でネットワーク トラフィックをフィルター処理する
仮想ネットワーク サブネットのインバウンド ネットワーク トラフィックとアウトバウンド ネットワーク トラフィックは、ネットワーク セキュリティ グループを使用してフィルター処理することができます。 ネットワーク セキュリティ グループには、IP アドレス、ポート、およびプロトコルでネットワーク トラフィックをフィルター処理するセキュリティ規則が含まれています。 セキュリティ規則は、サブネットに展開されたリソースに適用されます。
Azure portal を使用して NSG でネットワーク トラフィックをフィルター処理するための主要なステージは、次のとおりです。
- リソース グループを作成する - これは、事前に行うことも、次のステージで仮想ネットワークを作成するときに行うこともできます。 作成する他のすべてのリソースも、ここで指定するのと同じリージョン内に存在する必要があります。
- 仮想ネットワークを作成する - これは、以前に作成したのと同じリソース グループにデプロイする必要があります。
- アプリケーション セキュリティ グループを作成する - ここで作成するアプリケーション セキュリティ グループを使うと、Web サーバーや管理サーバーなど、同様の機能を持つサーバーをグループ化できます。 ここでは、2 つのアプリケーション セキュリティ グループを作成します。1 つは Web サーバー用で、もう 1 つは管理サーバー用です (例: MyAsgWebServers と MyAsgMgmtServers)
- ネットワーク セキュリティ グループを作成する - ネットワーク セキュリティ グループにより、仮想ネットワーク内のネットワーク トラフィックがセキュリティで保護されます。 次のステージで、この NSG をサブネットと関連付けます。
- ネットワーク セキュリティ グループをサブネットと関連付ける - ここでは、以前作成したネットワーク セキュリティ グループを、上のステージ 2 で作成した仮想ネットワークのサブネットと関連付けます。
- セキュリティ規則を作成する - ここでは、インバウンド セキュリティ規則を作成します。 Web サーバーのアプリケーション セキュリティ グループ (MyAsgWebServers など) に対してポート 80 と 443 を許可するセキュリティ規則を作成します。 次に、管理サーバーのアプリケーション セキュリティ グループ (MyAsgMgmtServers など) に対してポート 3389 の RDP トラフィックを許可する別のセキュリティ規則を作成します。 これらの規則は、VM にリモートでアクセスできる場所と IIS Web サーバーを制御します。
- 仮想マシンを作成する - ここでは、Web サーバー (MyVMWeb など) と管理サーバー (MyVMMgmt など) の仮想マシンを作成します。これらの仮想マシンは、次の段階でそれぞれのアプリケーション セキュリティ グループに関連付けます。
- NIC を ASG に関連付ける - ここでは、各仮想マシンに接続されているネットワーク インターフェイス カード (NIC) を、上のステージ 3 で作成した関連するアプリケーション セキュリティ グループに関連付けます。
- トラフィックのフィルター処理をテストする - 最後のステージでは、トラフィックのフィルター処理が想定どおりに機能していることをテストします。
- これをテストするには、RDP 接続を使用して管理サーバーの仮想マシン (たとえば、MyVMMgmt) に接続を試み、それによって、ポート 3389 でインターネットから管理サーバー アプリケーション セキュリティ グループ (たとえば、MyAsgMgmtServers) へのインバウンド接続が許可されるために、接続できることを確認します。
- 管理サーバー (MyVMMgmt など) の RDP セッションに接続されている間に、管理サーバー仮想マシン (MyVMMgmt など) から Web サーバー仮想マシン (MyVMWeb など) への RDP 接続をテストします。この場合も、同じネットワーク内の仮想マシンは既定で任意のポートを介して通信できるため、やはり成功するはずです。
- ただし、インターネットから Web サーバー仮想マシン (MyVMWeb など) への RDP 接続を作成することはできません。これは、Web サーバー アプリケーション セキュリティ グループ (MyAsgWebServers など) のセキュリティ規則によって、インターネットからのポート 3389 への接続が禁止されるためです。 既定では、インターネットからのインバウンド トラフィックはすべてのリソースに対して拒否されます。
- Web サーバー (MyVMWeb など) の RDP セッションに接続されている間に、Web サーバーに IIS をインストールし、Web サーバー仮想マシンの RDP セッションから切断して、管理サーバー仮想マシンの RDP セッションから切断することができます。 次に、Azure portal で、Web サーバー仮想マシン (MyVMWeb など) のパブリック IP アドレスを調べ、コンピューターで Web ブラウザーを開いて http:// (例: http://23.96.39.113) にアクセスすることで、インターネットから Web サーバー仮想マシンにアクセスできることを確認します。ポート 80 でインターネットから Web サーバー アプリケーション セキュリティ グループ (MyAsgWebServers など) へのインバウンド アクセスが許可されているため、標準の IIS ようこそ画面が表示されるはずです。 Web サーバー仮想マシン (MyVMWeb など) に接続されているネットワーク インターフェイスは、Web サーバー アプリケーション セキュリティ グループ (MyAsgWebServers など) に関連付けられているため、接続が許可されます。
これらすべてのタスクの詳細な手順については、「チュートリアル: Azure portal を使用してネットワーク セキュリティ グループでネットワーク トラフィックをフィルター処理する」を参照してください。