[Q]
Network Security Group (NSG) について説明
[A]
ネットワークセキュリティグループ(NSG)は仮想ネットワーク上の仮想マシンへのトラフィックを制御するためのリソースとなります。
。NSG は「サブネット」全体、あるいは個々の「ネットワークインターフェース」に設定可能です。
- 送信/受信に関するセキュリティ規則を設定することによって、通信のを制御します。
- 送信元 IP アドレス、宛先 IP アドレス、ポート(範囲も可)、プロトコルを指定して、送受信両方向の通信を許可・禁止。
- 特定の IP アドレス間での通信制御だけでなく、サービスタグを利用した通信制御もできます。
設定例:
サービスタグによるセキュリティ規則
送受信トラフィックに対するルールを設定する際に、IP アドレス範囲のかわりにサービスタグが利用可能、特に、Azure の各種サービスとの通信を制限する場合に役立つ
- Azure の各種サービスの IP アドレスは多数あり、かつ変化するため、これを保守するのは大変
- サービスタグを利用すると、この問題を解決できる利用できる主なサービスタグは以下の通り
一般的な指定 (Internet, Virtual Network, Load Balancer)
リージョンまで指定可能 (Storage, Sql, Cosmos DB, Key Vault, Event Hub, Serive Bus, ACR, AppService, API Management)
NSG の利用に関する注意点
- 過度なルールを設定することは避けましょう
①送受信セキュリティ規則を正しく設定・維持するのが大変となります。
②特に、誤って Azure インフラとの通信トラフィックを遮断してしまうと、IaaS/PaaS サービスが正しく動作しなくなる恐れもあります。
- NSGの基本的な使い方
- 各仮想マシンの NIC に対しては、既定で付与される NSG を利用します。
- VNET 内通信、ロードバランサからの受信、インターネットへの送信などが許可されます。
- 管理用踏み台 PC に対してパブリック IP を付与する場合には、必ず NSG を設定します。
- 特定のクライアント IP からの RDP 接続のみを許可するようにします。
- outbound traffic を制限したい場合、NSG ではなく Azure Firewall を利用します。
- Azure インフラとの通信を遮断することがなく、URL ベースでアクセス先を制限できます。
- さらに高セキュリティを目指したい場合には、サブネットや NIC に NSG を追加します。