Azure ネットワーク セキュリティ グループ(NSG)の整理と理解

どうも、やん(@yan_tzn)です。

本日は、Microsoft Azureのネットワーク セキュリティ グループ(NSG)について記載します。

Azure仮想マシン間や仮想ネットワークのサブネット間で、通信を制御するのに使用するネットワーク セキュリティ グループ(NSG)ですが、
どのような役割なのかまとめていきたいと思います。

スポンサーリンク

ネットワーク セキュリティ グループとは

Azureにおけるネットワークセキュリティは、IPアドレスとポート番号、プロトコルによるパケットフィルタリングが基本となります。

ネットワーク セキュリティ グループ(NSG)は、パケットフィルタリングの設定の許可・拒否を行う部品。

docs.microsoft.com

ネットワークセキュリティグループの作成

「Azure Marketplace」から「Network Security Group」を検索

「Resource Manager」を選択します。

Resource Managerは、IaaS V2とも呼ばれる最新のIaaS環境です。

特に制限がない場合は、こちらを選択するで問題ないと思います。

ネットワークセキュリティグループの名前を入力します。

リソースグループを作成していない場合、ここで作成を行います。

入力できたら作成を押下します。

作成したネットワークセキュリティグループに移動してみましょう。

「受信セキュリティ規則」「送信セキュリティ規則」にルールが設定されていると思いますが、

これは作成時に無条件に定義されるルールです。

docs.microsoft.com

スポンサーリンク

セキュリティ規則を作成する

今回は、受信セキュリティ規則を設定する
「受信セキュリティ規則」-「追加」と進み、ルールを設定します。

設定 備考
ソース [任意]、[アプリケーション セキュリティ グループ]、[IP アドレス]、または [サービス タグ] を選択発信元
ソース ポート範囲 単一のポート・ ポートの範囲 (例: 1024-65535)・コンマで区切った単一のポートとポートの範囲(例: 80, 1024-65535)・任意のポート場合は、アスタリスクを入力トラフィックが許可または拒否されるポートを指定
宛先 [任意]、[アプリケーション セキュリティ グループ]、[IP アドレス]、または [サービス タグ] を選択
宛先ポート範囲単一のポート・ ポートの範囲 (例: 1024-65535)・コンマで区切った単一のポートとポートの範囲(例: 80, 1024-65535)・任意のポート場合は、アスタリスクを入力
プロトコル[任意]、[TCP]、または [UDP] を選択
アクション[許可] または [拒否] を選択
優先度100 ~ 4096 の範囲の値を入力 数値が小さいほど、優先度は高くなる (100、200、300)
名前ネットワーク セキュリティ グループ内の一意の名前
説明任意の説明

詳細は、下記を参照

docs.microsoft.com

ネットワーク セキュリティ グループの構築例

①でAzureへの通信がきた場合、②の[WebApp層サブネットのNSG]でフィルタを行う。

[VM / 172.18.1.4]に到達する前に、③の[仮想NICのNSG]でフィルタを行う。

[VM / 172.8.2.4]からDB層へのアクセスする場合、④の[DB層サブネットのNSG]でフィルタを行う。

DB層へのアクセスは、[VM / 172.18.2.4]のみ可能な状態の例になります。

まとめ

ネットワーク周りに明るくないので、NSGの受信、送信ルールを設計は、今後苦労しそう。

Try And Errorで少しずつ慣れていきたい。


スポンサーリンク

Twitterでフォローしよう