それは仕様です。

「それは仕様です。」は雑記ブログです! 主にIT関連・考えたこと・勉強したことをここに残しています。 「Re:ゼロから言語の再勉強中。」

Azure ネットワーク セキュリティ グループ(NSG)の整理と理解


f:id:yantzn:20190113171227p:plain

どうも、やん(@yan_tzn)です。

本日は、Microsoft Azureのネットワーク セキュリティ グループ(NSG)について記載します。

Azure仮想マシン間や仮想ネットワークのサブネット間で、通信を制御するのに使用するネットワーク セキュリティ グループ(NSG)ですが、 どのような役割なのかまとめていきたいと思います。

ネットワーク セキュリティ グループとは

Azureにおけるネットワークセキュリティは、IPアドレスとポート番号、プロトコルによるパケットフィルタリングが基本となります。

ネットワーク セキュリティ グループ(NSG)は、パケットフィルタリングの設定の許可・拒否を行う部品。

docs.microsoft.com

ネットワークセキュリティグループの作成

f:id:yantzn:20190115020436p:plain

「Azure Marketplace」から「Network Security Group」を検索

「Resource Manager」を選択します。

Resource Managerは、IaaS V2とも呼ばれる最新のIaaS環境です。

特に制限がない場合は、こちらを選択するで問題ないと思います。

f:id:yantzn:20190115020526p:plain

ネットワークセキュリティグループの名前を入力します。

リソースグループを作成していない場合、ここで作成を行います。

入力できたら作成を押下します。

f:id:yantzn:20190115020633p:plain

作成したネットワークセキュリティグループに移動してみましょう。

「受信セキュリティ規則」「送信セキュリティ規則」にルールが設定されていると思いますが、

これは作成時に無条件に定義されるルールです。

docs.microsoft.com

セキュリティ規則を作成する

f:id:yantzn:20190115021459p:plain

今回は、受信セキュリティ規則を設定する 「受信セキュリティ規則」-「追加」と進み、ルールを設定します。

設定 備考
ソース [任意]、[アプリケーション セキュリティ グループ]、[IP アドレス]、または [サービス タグ] を選択 発信元
ソース ポート範囲 単一のポート・ ポートの範囲 (例: 1024-65535)・コンマで区切った単一のポートとポートの範囲(例: 80, 1024-65535)・任意のポート場合は、アスタリスクを入力 トラフィックが許可または拒否されるポートを指定
宛先 [任意]、[アプリケーション セキュリティ グループ]、[IP アドレス]、または [サービス タグ] を選択
宛先ポート範囲 単一のポート・ ポートの範囲 (例: 1024-65535)・コンマで区切った単一のポートとポートの範囲(例: 80, 1024-65535)・任意のポート場合は、アスタリスクを入力
プロトコル [任意]、[TCP]、または [UDP] を選択
アクション [許可] または [拒否] を選択
優先度 100 ~ 4096 の範囲の値を入力 数値が小さいほど、優先度は高くなる (100、200、300)
名前 ネットワーク セキュリティ グループ内の一意の名前
説明 任意の説明

詳細は、下記を参照

docs.microsoft.com

ネットワーク セキュリティ グループの構築例

f:id:yantzn:20190118020222p:plain

①でAzureへの通信がきた場合、②の[WebApp層サブネットのNSG]でフィルタを行う。

[VM / 172.18.1.4]に到達する前に、③の[仮想NICのNSG]でフィルタを行う。

[VM / 172.8.2.4]からDB層へのアクセスする場合、④の[DB層サブネットのNSG]でフィルタを行う。

DB層へのアクセスは、[VM / 172.18.2.4]のみ可能な状態の例になります。

まとめ

ネットワーク周りに明るくないので、NSGの受信、送信ルールを設計は、今後苦労しそう。

Try And Errorで少しずつ慣れていきたい。


本日は以上です。ありがとうございました!

Twitterフォロー・読者登録募集中です!