Azureネットワーク セキュリティ グループについて
Azure ネットワーク セキュリティ グループとは?
Azure ネットワーク セキュリティ グループは、簡単にいうとAzure上の仮想ファイアウォールの事です。送受信されるトラフィックを規則に基づいて評価し、送受信トラフィックを許可/拒否する設定をする事が出来ます。Azureは世界規模でアクセス可能なクラウドサービスであるため、ネットワーク セキュリティ グループの構成が必須となります。
ネットワーク セキュリティ グループのセキュリティ規則値
ネットワーク セキュリティ グループには以下のセキュリティ規則が事前に設定されています。
◆名前
ルールの名前を設定する事が出来ます。基本的は自分で自由につける事が出来ますが、管理上、名前を見ただけでどのルールなのか分かる名前が好ましいです。
◆優先度
トラフィックが評価されるルールの優先度の事で、数字が小さい方から順に評価されます。既定のルールでは、65000〜65500という数字になっており、ユーザが設定できる優先度の範囲は100〜4096となっています。
◆ソース・宛先
任意、IPアドレス、Virtual Network、Service Tagのいずれかで設定する事が出来ます。
◆プロトコル
Any、TCP、 UDP、 ICMPの4つから選択する事が出来ます。
◆ポート
通信を許可するポート番号を指定します。
◆アクセス
規則に一致するトラフィックを許可するか、もしくは拒否するかを指定する事が出来ます。
トラフィックを許可または拒否するために、プロトコルやポートなどの情報を使用し、優先度に従ってセキュリティ規則が評価されます。「受信セキュリティ規則」、「送信セキュリティ規則」など、詳細に関しては、以下をご参考ください。
[https://docs.microsoft.com/ja-jp/azure/virtual-network/security-overview?WT.mc_id=AZ-MVP-5002499]
ネットワーク セキュリティ グループの操作方法について
では次は、ネットワーク セキュリティ グループの作成方法や表示方法、削除方法についてご紹介します。
ネットワーク セキュリティ グループの作成方法
1,[Azure portal]メニュー上または[ホーム]ページから[リソースの作成]を選択します。
2,[ネットワーク]をクリックし、[ネットワーク セキュリティ グループ]を選択します。
3,[ネットワーク セキュリティ グループの作成]ページの[基本]タブで、以下の設定値を設定します。
・サブスクリプション:サブスクリプションを選択します。
・リソースグループ:既存もしくは新規作成を選択します。
・名前:ネットワーク セキュリティ グループの表示名
・リージョン:東日本もしくは西日本
4,[レビュー+作成]選択します。
5,「検証に成功しました」というメッセージが表示されたら、[作成]を選択します。
ネットワーク セキュリティ グループの詳細を表示する方法
1,[Azure portal]に移動し、[ネットワーク セキュリティ グループ]を選択します。
2,[ネットワーク セキュリティ グループ]の名前を選択します。
3,[ネットワーク セキュリティ グループ]のメニューバーの[設定]をクリックすると,
[受信セキュリティ規則]や[送信セキュリティ規則]、[ネットワーク インターフェイス]、[サブネット]を確認する事が出来ます。
ネットワーク セキュリティ グループの削除方法
1,[Azure portal]に移動し、[ネットワーク セキュリティ グループ]を選択します。
2,削除する[ネットワーク セキュリティ グループ]の名前を選択します。
3,ネットワーク セキュリティ グループのツールバーで[削除]を選択します。次に、確認のダイアログボックスで[はい]を選択します。
拡張セキュリティ規則について
拡張セキュリティ規則を使用する事で、仮想ネットワークのセキュリティ定義が簡略化され、大規模で複雑なネットワーク セキュリティ ポリシーを少ない規則で定義する事ができます。複数のポート、複数のIPアドレス及び範囲を組み合わせて、セキュリティ規則を作ります。また、セキュリティ規則の保守を簡素化するには、拡張セキュリティ規則と「サービス タグ」と「アプリケーション セキュリティ グループ」を組み合わせる事で可能となります。
サービス タグについて
サービスタグは、Azureで提供されているPaaS系のIPアドレスを指定する際に利用します。ネットワーク セキュリティ規則の頻繁な更新の煩わしさを最小限に抑える事ができます。詳細に関しては、以下をご参考ください。
[https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview]
アプリケーション セキュリティ グループ(ASG)
アプリケーション セキュリティ グループは、Azure仮想マシンに関連付けられたネットワーク インターフェイス(NIC)単位でグループ化して、ネットワーク セキュリティ ポリシー(送信/受信の規則)を定義する事が出来る機能です。つまり、仮想マシンを適当な名前でグループ化し、ネットワークの信頼できるトラフィックをフィルタリングする事で、アプリケーションのセキュリティを確保する事が出来ます。詳細に関しては、以下をご参考ください。
[https://docs.microsoft.com/ja-jp/azure/virtual-network/application-security-groups]
まとめ
Azureのネットワーク セキュリティ グループについていかがでしたでしょうか。ネットワーク セキュリティ グループはAzure IaaS上でネットワークレベルのセキュリティ対策に必須なソースになります。是非この記事でネットワーク セキュリティ グループについて少しでもご理解頂ければ幸いです。また、以下の参考より詳細にな内容について記述されているので参考にしてみてください。
参考
[https://docs.microsoft.com/ja-jp/azure/virtual-network/security-overview]