の整理と理解/20190113171227.png)
どうも、やん(@yan_tzn)です。
本日は、Microsoft Azureのネットワーク セキュリティ グループ(NSG)について記載します。
Azure仮想マシン間や仮想ネットワークのサブネット間で、通信を制御するのに使用するネットワーク セキュリティ グループ(NSG)ですが、
どのような役割なのかまとめていきたいと思います。
ネットワーク セキュリティ グループとは
Azureにおけるネットワークセキュリティは、IPアドレスとポート番号、プロトコルによるパケットフィルタリングが基本となります。
ネットワーク セキュリティ グループ(NSG)は、パケットフィルタリングの設定の許可・拒否を行う部品。
ネットワークセキュリティグループの作成
の整理と理解/20190115020436.png)
「Azure Marketplace」から「Network Security Group」を検索
「Resource Manager」を選択します。
Resource Managerは、IaaS V2とも呼ばれる最新のIaaS環境です。
特に制限がない場合は、こちらを選択するで問題ないと思います。
の整理と理解/20190115020526.png)
ネットワークセキュリティグループの名前を入力します。
リソースグループを作成していない場合、ここで作成を行います。
入力できたら作成を押下します。
の整理と理解/20190115020633.png)
作成したネットワークセキュリティグループに移動してみましょう。
「受信セキュリティ規則」「送信セキュリティ規則」にルールが設定されていると思いますが、
これは作成時に無条件に定義されるルールです。
セキュリティ規則を作成する
の整理と理解/20190115021459.png)
今回は、受信セキュリティ規則を設定する
「受信セキュリティ規則」-「追加」と進み、ルールを設定します。
| 設定 | 値 | 備考 |
|---|---|---|
| ソース | [任意]、[アプリケーション セキュリティ グループ]、[IP アドレス]、または [サービス タグ] を選択 | 発信元 |
| ソース ポート範囲 | 単一のポート・ ポートの範囲 (例: 1024-65535)・コンマで区切った単一のポートとポートの範囲(例: 80, 1024-65535)・任意のポート場合は、アスタリスクを入力 | トラフィックが許可または拒否されるポートを指定 |
| 宛先 | [任意]、[アプリケーション セキュリティ グループ]、[IP アドレス]、または [サービス タグ] を選択 | |
| 宛先ポート範囲 | 単一のポート・ ポートの範囲 (例: 1024-65535)・コンマで区切った単一のポートとポートの範囲(例: 80, 1024-65535)・任意のポート場合は、アスタリスクを入力 | |
| プロトコル | [任意]、[TCP]、または [UDP] を選択 | |
| アクション | [許可] または [拒否] を選択 | |
| 優先度 | 100 ~ 4096 の範囲の値を入力 | 数値が小さいほど、優先度は高くなる (100、200、300) |
| 名前 | ネットワーク セキュリティ グループ内の一意の名前 | |
| 説明 | 任意の説明 |
詳細は、下記を参照
ネットワーク セキュリティ グループの構築例
の整理と理解/20190118020222.png)
①でAzureへの通信がきた場合、②の[WebApp層サブネットのNSG]でフィルタを行う。
[VM / 172.18.1.4]に到達する前に、③の[仮想NICのNSG]でフィルタを行う。 [VM / 172.8.2.4]からDB層へのアクセスする場合、④の[DB層サブネットのNSG]でフィルタを行う。DB層へのアクセスは、[VM / 172.18.2.4]のみ可能な状態の例になります。
まとめ
ネットワーク周りに明るくないので、NSGの受信、送信ルールを設計は、今後苦労しそう。
Try And Errorで少しずつ慣れていきたい。
