マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Network Security Group (NSG)は、Azure Virtual Network (VNet) に
接続されたリソース(NIC、VM、サブネット)へのネットワーク トラフィックを
許可または拒否する一連のセキュリティ規則

設定

  • 当該サブネット向けのNSGを新規作成(既定値)。
  • 使用するVMに絞ったRDP/SSHのインバウンドを許可する。
  • 作成したNSGをサブネットを関連付ける。
  • VMのNICに関連付けられたNSGをすべて削除する。

詳細

  • 以下のような仕組みになっている。
  • 既定値を知ると理解しやすい。

関連付け

NSG はサブネットに関連付けることができる。
サブネットに接続されているすべてのリソースにその NSG のルールが適用される。

クラシック モデル

  • サブネット以外にも、個々の VM に関連付けることができる。
  • これにより、トラフィックをさらに制限することができる。

Resource Manager モデル

  • サブネット以外にも、VMのNIC に関連付けることができる。
  • これにより、トラフィックをさらに制限することができる。

適用順序

各 NSG 内の優先度に基づき、次の順番でトラフィックに適用される。

受信トラフィック

  1. サブネットに適用される NSG
  2. NIC (Resource Manager) または VM (クラシック) に適用される NSG

送信トラフィック

  1. NIC (Resource Manager) または VM (クラシック) に適用される NSG
  2. サブネットに適用される NSG

既定値

既定のタグ

IP アドレスのカテゴリに対応するシステム指定の識別子

対象となるNSG ルールのプロパティ

既定のタグは、以下の任意のNSG ルールのプロパティで使用可能。

  • 発信元アドレスのプレフィックス
  • 宛先アドレスのプレフィックス

3種の既定のタグ

使用できる既定のタグには、以下の3種類がある。

  • VirtualNetwork? (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK):
    このタグは、仮想ネットワーク アドレス空間 (Azure で定義されている CIDR 範囲) だけでなく、
    すべての接続されているオンプレミス アドレス空間と接続されているAzure VNet (ローカル ネットワーク) が含まれる。
  • AzureLoadBalancer? (Resource Manager) (クラシックの場合は AZURE_LOADBALANCER):
    • このタグは、Azure のインフラストラクチャのロード バランサを表す。
    • このタグは、Azure の正常性プローブ(≒死活監視)が開始される Azure データセンター IP に変換される。
  • Internet (Resource Manager) (クラシックの場合は INTERNET):
    • このタグは、パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間を表す。
    • Azure に所有されているパブリック IP アドレス空間がこの範囲に含まれる。

既定のルール

概要

  • 既定のルールでは、トラフィックが次のように許可/拒否される。
  • 仮想ネットワーク
    仮想ネットワーク内で発信および着信するトラフィックについては、
    受信方向と送信方向の両方で許可されます。
  • ロード バランサ
    • ロード バランサによる VM の正常性プローブ(≒死活監視)を許可。
    • 負荷分散セットを使用していない場合は、このルールを上書きできる。
  • インターネット
    送信トラフィックは許可されるが、受信トラフィックはブロックされる。
  • ザックリ言って、
    • アウトバウンド:全開
    • インバウンド:全閉
    • (Internet⇔)ロードバランサ(⇔VM死活監視):制限なし

設定

  • 受信
    #Name優先順位発信元 IP発信元ポート宛先 IP宛先ポートプロトコルAccess
    1AllowVNetInBound?65000VirtualNetwork?*VirtualNetwork?**ALLOW
    2AllowAzureLoadBalancerInBound?65001AzureLoadBalancer?****ALLOW
    3DenyAllInBound?65500*****DENY
  • 送信
    #Name優先順位発信元 IP発信元ポート宛先 IP宛先ポートプロトコルAccess
    1AllowVnetOutBound?65000VirtualNetwork?*VirtualNetwork?**ALLOW
    2AllowInternetOutBound?65001**Internet**ALLOW
    3DenyAllOutBound?65500*****DENY

参考

Azure Resource Manager

Microsoft Docs

その他

  • Azure VM – NSG(ネットワークセキュリティグループ)を理解する | RARPA (ラーパ・RW高等研究計画局)
    http://www.rarpa.net/?p=6081

Tags: :インフラストラクチャ, :クラウド, :Azure, :通信技術


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-15 (木) 17:56:56 (517d)