「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure]] --[[Azureのアクセス制御と権限]] --[[Azure Resource Manager (ARM)]] * 目次 [#q189510b] #contents *概要 [#c29a2158] -Network Security Group (NSG)は、L4のパケット・フィルタ。 -[[VPF(Virtual Packet Filtering)>Azureの仮想ネットワーク#ud86d249]]と呼ばれる仕組みで実装される。 -[[Azureの仮想ネットワーク]]に接続された[[リソース>Azure Resource Manager (ARM)#c500a780]](NIC、VM、サブネット)への~ ネットワーク トラフィックを許可または拒否する一連のセキュリティ規則 *詳細 [#ib6313b5] -以下のような仕組みになっている。 -[[既定値>#v1d77f32]]を知ると理解しやすい。 **設定例 [#da9caeeb] ***VMへのインバウンド設定 [#ad8be917] -VMのNICに既定で作成&関連付けられたNSGがある。 --既定では、 ---インバウンドはホワイトリスト ---アウトバウンドは制限なし --ホワイト or ブラック・リスト化 ---ホワイト・リスト化~ 優先順位の高い位置に、許可(Allow)ルールを追加 ---ブラック・リスト化~ 優先順位の高い位置に、拒否(Deny)ルールを追加 ---優先順位~ ・世間一般では、ブラック・リスト化 < ホワイト・リスト化 らしい。~ ・世間一般では、ブラック・リスト化 < ホワイト・リスト化 らしい。~ ・故に、先ず、ホワイト・リストを見て許可、その後で、ブラック・リストを見て拒否すする。~ --SRCとDSTには以下がある。 ---Any ---IPアドレス(範囲指定も可能) ---サービスタグ or 仮想ネットワーク ---アプリケーション・セキュリティ・グループ -NIC設定からサブネット設定に変更する。 --当該サブネット向けのNSGを新規作成(既定値)。 --使用するVMに絞ったRDP/SSHのインバウンドを許可する。 --作成したNSGをサブネットを関連付ける。 --VMのNICに関連付けられたNSGをすべて削除する。 ***[[Azure Bastion>Azure Bastion#z83a82fd]] [#v6fcb174] **関連付け [#rc1f63fe] NSG はサブネットに関連付けることができる。~ サブネットに接続されているすべてのリソースにその NSG のルールが適用される。 ***クラシック モデル [#wb958ec7] -サブネット以外にも、個々の VM に関連付けることができる。 -これにより、トラフィックをさらに制限することができる。 ***Resource Manager モデル [#e51238ae] -サブネット以外にも、VMのNIC に関連付けることができる。 -これにより、トラフィックをさらに制限することができる。 **適用順序 [#yefa163f] 各 NSG 内の優先度に基づき、次の順番でトラフィックに適用される。 ***受信トラフィック [#eebaf363] +サブネットに適用される NSG +NIC (Resource Manager) または VM (クラシック) に適用される NSG ***送信トラフィック [#sa977dab] +NIC (Resource Manager) または VM (クラシック) に適用される NSG +サブネットに適用される NSG **サービス・タグ [#tbbd876a] IP アドレスのカテゴリに対応するシステム指定の識別子 ***対象となるNSG ルールのプロパティ [#g57b5019] 既定のサービス・タグは、以下の任意のNSG ルールのプロパティで使用可能。 -発信元アドレスのプレフィックス -宛先アドレスのプレフィックス ***便利なサービス・タグ [#kffbc776] -VirtualNetwork -Internet -AzureCloud -Storage、Sql -AzureCosmosDB -AzureKeyVault -AzureMonitor -AzureActiveDirectory ***サービス・タグの一覧 [#b98fe8e7] -Azure サービス タグの概要 | Microsoft Docs~ https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview **構成のポイント [#k8725521] ***NSGの作成単位 [#m44b9bf6] VNET単位に作成、VNET中の全サブネットに関連付けると楽。 ***ILBに対するNSG [#x72c96c4] -[[コチラ>Azure Load Balancer#t213a6e9]]に書かれた理由で出来ない。~ -以下のように、ネットワーク間を許可する。 --誤) 192.168.2.0/24 → 192.168.3.100/32 --正) 192.168.2.0/24 → 192.168.3.0/24 *既定値 [#v1d77f32] **3種の[[サービス・タグ>#tbbd876a]] [#vb858918] 以下の3種類の[[サービス・タグ>#tbbd876a]]が既定値に指定されている。 -VirtualNetwork (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK):~ 仮想ネットワーク アドレス空間 (Azure で定義されている CIDR 範囲) だけでなく、~ すべての接続されているオンプレミス アドレス空間と接続されている[[VNET>Azureの仮想ネットワーク]] (ローカル ネットワーク) が含まれる。 -AzureLoadBalancer (Resource Manager) (クラシックの場合は AZURE_LOADBALANCER): --Azure のインフラストラクチャのロード バランサを表す。 --Azure の正常性プローブ(≒死活監視)が開始される Azure データセンター IP に変換される。 -Internet (Resource Manager) (クラシックの場合は INTERNET):~ --パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間を表す。 --Azure に所有されているパブリック IP アドレス空間がこの範囲に含まれる。 **既定のルール [#r61e0858] ***概要 [#eb05c859] -既定のルールでは、トラフィックが次のように許可/拒否される。 --仮想ネットワーク~ 発信 / 着信トラフィックは、送信 / 受信方向の両方で許可。 --ロード バランサ ---ロード バランサによる VM の正常性プローブ(≒死活監視)を許可。 ---負荷分散セットを使用していない場合は、このルールを上書きできる。 --インターネット ---トラフィックは送信方向は許可 ---受信方向はブロックされる。 -ザックリ言って、 --アウトバウンド:全開 --インバウンド:全閉 --(Internet⇔)ロードバランサ(⇔VM死活監視):制限なし ***設定 [#u26383de] -受信 |#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポート|プロトコル|Access|h |1|AllowVNetInBound|65000|VirtualNetwork|*|VirtualNetwork|*|*|ALLOW| |2|AllowAzureLoadBalancerInBound|65001|AzureLoadBalancer|*|*|*|*|ALLOW| |3|DenyAllInBound|65500|*|*|*|*|*|DENY| -送信 |#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポート|プロトコル|Access|h |1|AllowVnetOutBound|65000|VirtualNetwork|*|VirtualNetwork|*|*|ALLOW| |2|AllowInternetOutBound|65001|*|*|Internet|*|*|ALLOW| |3|DenyAllOutBound|65500|*|*|*|*|*|DENY| *参考 [#w37b94ff] **[[Azure Resource Manager (ARM)]] [#r704e2dc] **Microsoft Docs [#fba648bd] -Azure のネットワーク セキュリティ グループ~ https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-nsg -Azure Portal を使用して NSG を管理する~ https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-manage-nsg-arm-portal **その他 [#pccba95a] -Azure VM – NSG(ネットワークセキュリティグループ)を理解する | RARPA (ラーパ・RW高等研究計画局)~ http://www.rarpa.net/?p=6081 -ネットワークセキュリティーグループ(NSG) の作成~ https://www.cloudou.net/virtual-network/vnet002/ -Azure Network Security Group(NSG)についておさらい - Qiita~ https://qiita.com/yotan/items/d5e3e8dcc94a2099fa05 ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:セキュリティ]], [[:通信技術]]