Network Security Group (NSG)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azureのアクセス制御と権限]]
--[[Azure Resource Manager (ARM)]]
* 目次 [#q189510b]
#contents
*概要 [#c29a2158]
-Network Security Group (NSG)は、L4のパケット・フィルタ。
-[[VPF(Virtual Packet Filtering)>Azureの仮想ネットワー...
-[[Azureの仮想ネットワーク]]に接続された[[リソース>Azure ...
ネットワーク トラフィックを許可または拒否する一連のセキュ...
*詳細 [#ib6313b5]
-以下のような仕組みになっている。
-[[既定値>#v1d77f32]]を知ると理解しやすい。
**設定例 [#da9caeeb]
***VMへのインバウンド設定 [#ad8be917]
-VMのNICに既定で作成&関連付けられたNSGがある。
--既定では、
---インバウンドはホワイトリスト
---アウトバウンドは制限なし
--ホワイト or ブラック・リスト化
---ホワイト・リスト化~
優先順位の高い位置に、許可(Allow)ルールを追加
---ブラック・リスト化~
優先順位の高い位置に、拒否(Deny)ルールを追加
---優先順位~
・世間一般では、ブラック・リスト化 < ホワイト・リスト化 ...
・故に、先ず、ホワイト・リストを見て許可、その後で、ブラ...
--SRCとDSTには以下がある。
---Any
---IPアドレス(範囲指定も可能)
---サービスタグ or 仮想ネットワーク
---アプリケーション・セキュリティ・グループ
-NIC設定からサブネット設定に変更する。
--当該サブネット向けのNSGを新規作成(既定値)。
--使用するVMに絞ったRDP/SSHのインバウンドを許可する。
--作成したNSGをサブネットを関連付ける。
--VMのNICに関連付けられたNSGをすべて削除する。
***[[Azure Bastion>Azure Bastion#z83a82fd]] [#v6fcb174]
**関連付け [#rc1f63fe]
NSG はサブネットに関連付けることができる。~
サブネットに接続されているすべてのリソースにその NSG のル...
***クラシック モデル [#wb958ec7]
-サブネット以外にも、個々の VM に関連付けることができる。
-これにより、トラフィックをさらに制限することができる。
***Resource Manager モデル [#e51238ae]
-サブネット以外にも、VMのNIC に関連付けることができる。
-これにより、トラフィックをさらに制限することができる。
**適用順序 [#yefa163f]
各 NSG 内の優先度に基づき、次の順番でトラフィックに適用さ...
***受信トラフィック [#eebaf363]
+サブネットに適用される NSG
+NIC (Resource Manager) または VM (クラシック) に適用され...
***送信トラフィック [#sa977dab]
+NIC (Resource Manager) または VM (クラシック) に適用され...
+サブネットに適用される NSG
**サービス・タグ [#tbbd876a]
IP アドレスのカテゴリに対応するシステム指定の識別子
***対象となるNSG ルールのプロパティ [#g57b5019]
既定のサービス・タグは、以下の任意のNSG ルールのプロパテ...
-発信元アドレスのプレフィックス
-宛先アドレスのプレフィックス
***便利なサービス・タグ [#kffbc776]
-VirtualNetwork
-Internet
-AzureCloud
-Storage、Sql
-AzureCosmosDB
-AzureKeyVault
-AzureMonitor
-AzureActiveDirectory
***サービス・タグの一覧 [#b98fe8e7]
-Azure サービス タグの概要 | Microsoft Docs~
https://docs.microsoft.com/ja-jp/azure/virtual-network/se...
**構成のポイント [#k8725521]
***NSGの作成単位 [#m44b9bf6]
VNET単位に作成、VNET中の全サブネットに関連付けると楽。
***ILBに対するNSG [#x72c96c4]
-[[コチラ>Azure Load Balancer#t213a6e9]]に書かれた理由で...
-以下のように、ネットワーク間を許可する。
--誤) 192.168.2.0/24 → 192.168.3.100/32
--正) 192.168.2.0/24 → 192.168.3.0/24
*既定値 [#v1d77f32]
**3種の[[サービス・タグ>#tbbd876a]] [#vb858918]
以下の3種類の[[サービス・タグ>#tbbd876a]]が既定値に指定...
-VirtualNetwork (Resource Manager) (クラシックの場合は VI...
仮想ネットワーク アドレス空間 (Azure で定義されている CID...
すべての接続されているオンプレミス アドレス空間と接続され...
-AzureLoadBalancer (Resource Manager) (クラシックの場合は...
--Azure のインフラストラクチャのロード バランサを表す。
--Azure の正常性プローブ(≒死活監視)が開始される Azure ...
-Internet (Resource Manager) (クラシックの場合は INTERNET...
--パブリック インターネットによってアクセスできる仮想ネッ...
--Azure に所有されているパブリック IP アドレス空間がこの...
**既定のルール [#r61e0858]
***概要 [#eb05c859]
-既定のルールでは、トラフィックが次のように許可/拒否され...
--仮想ネットワーク~
発信 / 着信トラフィックは、送信 / 受信方向の両方で許可。
--ロード バランサ
---ロード バランサによる VM の正常性プローブ(≒死活監視)...
---負荷分散セットを使用していない場合は、このルールを上書...
--インターネット
---トラフィックは送信方向は許可
---受信方向はブロックされる。
-ザックリ言って、
--アウトバウンド:全開
--インバウンド:全閉
--(Internet⇔)ロードバランサ(⇔VM死活監視):制限なし
***設定 [#u26383de]
-受信
|#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポー...
|1|AllowVNetInBound|65000|VirtualNetwork|*|VirtualNetwork...
|2|AllowAzureLoadBalancerInBound|65001|AzureLoadBalancer|...
|3|DenyAllInBound|65500|*|*|*|*|*|DENY|
-送信
|#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポー...
|1|AllowVnetOutBound|65000|VirtualNetwork|*|VirtualNetwor...
|2|AllowInternetOutBound|65001|*|*|Internet|*|*|ALLOW|
|3|DenyAllOutBound|65500|*|*|*|*|*|DENY|
*参考 [#w37b94ff]
**[[Azure Resource Manager (ARM)]] [#r704e2dc]
**Microsoft Docs [#fba648bd]
-Azure のネットワーク セキュリティ グループ~
https://docs.microsoft.com/ja-jp/azure/virtual-network/vi...
-Azure Portal を使用して NSG を管理する~
https://docs.microsoft.com/ja-jp/azure/virtual-network/vi...
**その他 [#pccba95a]
-Azure VM – NSG(ネットワークセキュリティグループ)を理解す...
http://www.rarpa.net/?p=6081
-ネットワークセキュリティーグループ(NSG) の作成~
https://www.cloudou.net/virtual-network/vnet002/
-Azure Network Security Group(NSG)についておさらい - Qiita~
https://qiita.com/yotan/items/d5e3e8dcc94a2099fa05
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azureのアクセス制御と権限]]
--[[Azure Resource Manager (ARM)]]
* 目次 [#q189510b]
#contents
*概要 [#c29a2158]
-Network Security Group (NSG)は、L4のパケット・フィルタ。
-[[VPF(Virtual Packet Filtering)>Azureの仮想ネットワー...
-[[Azureの仮想ネットワーク]]に接続された[[リソース>Azure ...
ネットワーク トラフィックを許可または拒否する一連のセキュ...
*詳細 [#ib6313b5]
-以下のような仕組みになっている。
-[[既定値>#v1d77f32]]を知ると理解しやすい。
**設定例 [#da9caeeb]
***VMへのインバウンド設定 [#ad8be917]
-VMのNICに既定で作成&関連付けられたNSGがある。
--既定では、
---インバウンドはホワイトリスト
---アウトバウンドは制限なし
--ホワイト or ブラック・リスト化
---ホワイト・リスト化~
優先順位の高い位置に、許可(Allow)ルールを追加
---ブラック・リスト化~
優先順位の高い位置に、拒否(Deny)ルールを追加
---優先順位~
・世間一般では、ブラック・リスト化 < ホワイト・リスト化 ...
・故に、先ず、ホワイト・リストを見て許可、その後で、ブラ...
--SRCとDSTには以下がある。
---Any
---IPアドレス(範囲指定も可能)
---サービスタグ or 仮想ネットワーク
---アプリケーション・セキュリティ・グループ
-NIC設定からサブネット設定に変更する。
--当該サブネット向けのNSGを新規作成(既定値)。
--使用するVMに絞ったRDP/SSHのインバウンドを許可する。
--作成したNSGをサブネットを関連付ける。
--VMのNICに関連付けられたNSGをすべて削除する。
***[[Azure Bastion>Azure Bastion#z83a82fd]] [#v6fcb174]
**関連付け [#rc1f63fe]
NSG はサブネットに関連付けることができる。~
サブネットに接続されているすべてのリソースにその NSG のル...
***クラシック モデル [#wb958ec7]
-サブネット以外にも、個々の VM に関連付けることができる。
-これにより、トラフィックをさらに制限することができる。
***Resource Manager モデル [#e51238ae]
-サブネット以外にも、VMのNIC に関連付けることができる。
-これにより、トラフィックをさらに制限することができる。
**適用順序 [#yefa163f]
各 NSG 内の優先度に基づき、次の順番でトラフィックに適用さ...
***受信トラフィック [#eebaf363]
+サブネットに適用される NSG
+NIC (Resource Manager) または VM (クラシック) に適用され...
***送信トラフィック [#sa977dab]
+NIC (Resource Manager) または VM (クラシック) に適用され...
+サブネットに適用される NSG
**サービス・タグ [#tbbd876a]
IP アドレスのカテゴリに対応するシステム指定の識別子
***対象となるNSG ルールのプロパティ [#g57b5019]
既定のサービス・タグは、以下の任意のNSG ルールのプロパテ...
-発信元アドレスのプレフィックス
-宛先アドレスのプレフィックス
***便利なサービス・タグ [#kffbc776]
-VirtualNetwork
-Internet
-AzureCloud
-Storage、Sql
-AzureCosmosDB
-AzureKeyVault
-AzureMonitor
-AzureActiveDirectory
***サービス・タグの一覧 [#b98fe8e7]
-Azure サービス タグの概要 | Microsoft Docs~
https://docs.microsoft.com/ja-jp/azure/virtual-network/se...
**構成のポイント [#k8725521]
***NSGの作成単位 [#m44b9bf6]
VNET単位に作成、VNET中の全サブネットに関連付けると楽。
***ILBに対するNSG [#x72c96c4]
-[[コチラ>Azure Load Balancer#t213a6e9]]に書かれた理由で...
-以下のように、ネットワーク間を許可する。
--誤) 192.168.2.0/24 → 192.168.3.100/32
--正) 192.168.2.0/24 → 192.168.3.0/24
*既定値 [#v1d77f32]
**3種の[[サービス・タグ>#tbbd876a]] [#vb858918]
以下の3種類の[[サービス・タグ>#tbbd876a]]が既定値に指定...
-VirtualNetwork (Resource Manager) (クラシックの場合は VI...
仮想ネットワーク アドレス空間 (Azure で定義されている CID...
すべての接続されているオンプレミス アドレス空間と接続され...
-AzureLoadBalancer (Resource Manager) (クラシックの場合は...
--Azure のインフラストラクチャのロード バランサを表す。
--Azure の正常性プローブ(≒死活監視)が開始される Azure ...
-Internet (Resource Manager) (クラシックの場合は INTERNET...
--パブリック インターネットによってアクセスできる仮想ネッ...
--Azure に所有されているパブリック IP アドレス空間がこの...
**既定のルール [#r61e0858]
***概要 [#eb05c859]
-既定のルールでは、トラフィックが次のように許可/拒否され...
--仮想ネットワーク~
発信 / 着信トラフィックは、送信 / 受信方向の両方で許可。
--ロード バランサ
---ロード バランサによる VM の正常性プローブ(≒死活監視)...
---負荷分散セットを使用していない場合は、このルールを上書...
--インターネット
---トラフィックは送信方向は許可
---受信方向はブロックされる。
-ザックリ言って、
--アウトバウンド:全開
--インバウンド:全閉
--(Internet⇔)ロードバランサ(⇔VM死活監視):制限なし
***設定 [#u26383de]
-受信
|#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポー...
|1|AllowVNetInBound|65000|VirtualNetwork|*|VirtualNetwork...
|2|AllowAzureLoadBalancerInBound|65001|AzureLoadBalancer|...
|3|DenyAllInBound|65500|*|*|*|*|*|DENY|
-送信
|#|Name|優先順位|発信元 IP|発信元ポート|宛先 IP|宛先ポー...
|1|AllowVnetOutBound|65000|VirtualNetwork|*|VirtualNetwor...
|2|AllowInternetOutBound|65001|*|*|Internet|*|*|ALLOW|
|3|DenyAllOutBound|65500|*|*|*|*|*|DENY|
*参考 [#w37b94ff]
**[[Azure Resource Manager (ARM)]] [#r704e2dc]
**Microsoft Docs [#fba648bd]
-Azure のネットワーク セキュリティ グループ~
https://docs.microsoft.com/ja-jp/azure/virtual-network/vi...
-Azure Portal を使用して NSG を管理する~
https://docs.microsoft.com/ja-jp/azure/virtual-network/vi...
**その他 [#pccba95a]
-Azure VM – NSG(ネットワークセキュリティグループ)を理解す...
http://www.rarpa.net/?p=6081
-ネットワークセキュリティーグループ(NSG) の作成~
https://www.cloudou.net/virtual-network/vnet002/
-Azure Network Security Group(NSG)についておさらい - Qiita~
https://qiita.com/yotan/items/d5e3e8dcc94a2099fa05
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
