企業で仮想ネットワークを運用している場合、不正アクセスが行われないようにセキュリティ体制を整える必要性があります。自社でしっかりとしたセキュリティ体制を整えるためにも、Azureのネットワークセキュリティグループを利用して構築するのがおすすめです。
本記事では、Azureのネットワークセキュリティグループを構築する必要性や設定方法などについてご説明しましょう。
Azureのネットワークセキュリティグループ(NSG)の概要
Azureのネットワークセキュリティグループ(NSG)は、Azureの仮想ネットワーク上のファイアウォールのようなサービスです。通常、仮想ネットワークは全世界のどこからでもアクセスできてしまうため、ひとたび不正アクセスが行われれば重要な情報が外部に漏れ出てしまう危険性があります。
その他にも分析力が高いなどの様々な特徴があるので、十分検討するに値するでしょう。それでは、Azureのネットワークセキュリティグループの概要について解説します。
Azure(アジュール)とは?
AzureとはWindowsが提供しているクラウドプラットフォームで、顧客が新しいソリューションを実現できるように設計された200を超える製品とクラウドサービスで構成されているのが特徴です。
オープンソースへのコミットメントやあらゆる言語、フレームワークのサポートが徹底して行われているため、顧客が望む思いのままのビルドやデプロイが可能です。さらに、エキスパートチームが支える徹底されるセキュリティ体制で安心して利用できます。
ネットワークセキュリティグループ(NSG)とは?
そもそもネットワークセキュリティグループ(NSG)とは、仮想ネットワーク上で動作するファイアウォールのようなサービスで、セキュリティ規則に従って送受信するトラフィックを評価する役割があります。
その評価次第で、トラフィックの送信や受信、許可・拒否を行います。送信元や送信元ポート、宛先、宛先ポート、プロトコルの5つの情報を元にセキュリティ規則の評価が行われるのが大きなポイントです。
ファイアウォール(Azure Firewall)との違い
ネットワークセキュリティグループ(NSG)とファイアウォール(Azure Firewall)との違いは、以下の通りです。
| 機能 | ネットワークセキュリティグループ | Azure Firewall |
|---|---|---|
| 動作箇所 | サブネットと仮想マシンのネットワークインターフェイス上 | インターネットと仮想ネットワークの境界 |
| 対象レイヤー | L3/L4 | L3/L4+L7 |
| サービスタグによるフィルター処理 | あり | あり |
| FQDNによるフィルター処理 | なし | あり |
| SNATとDNAT | なし | あり |
| 脅威インテリジェンスベースのフィルター処理 | なし | あり |
| IDPS | なし | あり(プレミアム) |
| 価格 | 無料 | 有料 |
Azure Firewallは外部からの通信をまとめて管理できますが、ネットワークセキュリティグループはセキュリティグループごとにアクセスできる範囲が管理できます。
NSGの動作環境や関連リソースについて
上記でご説明したように、ネットワークセキュリティグループの方が運用できるリソースはサブネットとネットワークインターフェイスです。サブネットかネットワークインターフェイスのどちらかを運用しても問題ありませんし、どちらか一つでも構いません。
ここでは、異なるサブネット間での通信や同一サブネットによる通信の動作について解説します。
異なるサブネット間での通信
異なるサブネット間で通信を行う場合、サブネット1とサブネット2のネットワークセキュリティグループを関連付ける必要性があります。ネットワークセキュリティグループを関連付ける場合、下記のVM1とVM2の送信セキュリティ規則と受信セキュリティ規則のルールを追加して送受信を許可するように設定しなければなりません。
同一のサブネット内での通信
同一のサブネット内で通信を行う場合、下記のようにネットワークセキュリティグループを構成することによって、VM1から受信した内容をNSG-SN1の送信セキュリティ規則のトラフィックで評価され、次に受信セキュリティ規則のトラフィックで評価されます。
ネットワークセキュリティグループ(NSG)の規則
ネットワークセキュリティグループ(NSG)では、あらかじめ定められているセキュリティ規則があります。それでは、ネットワークセキュリティグループ(NSG)で定められているセキュリティ体制についてご紹介しましょう。
既定のセキュリティ規則
初期段階におけるネットワークセキュリティグループ(NSG)の既定のセキュリティ規則は比較的緩いので、そのままではセキュリティを突破されてしまう可能性があります。
たとえば初期段階の場合、Internet以外の全てのトラフィックを自動的に許可する構成になっているだけでなく、全ての仮想マシンからインターネットの参照ができるようになっているなど、無防備な状態になっていると言えるでしょう。
設定できる規則値について
設定できる規則値は、優先度、ポート、プロトコル、ソース、宛先、アクションです。
受信セキュリティ規則
受信セキュリティ規則は、以下の通りです。
| 優先度 | 名前 | ポート | プロトコル | ソース | 宛先 | アクション |
|---|---|---|---|---|---|---|
| 65000 | AllowVnet InBound | 任意 | 任意 | Virtual Network |
Virtual Network |
許可 |
| 65001 | AllowAzure LoadBalancer InBound | 任意 | 任意 |
Azure LoadBalancer |
任意 | 許可 |
| 65500 | DenyAll InBound | 任意 | 任意 | 任意 | 任意 | 拒否 |
送信セキュリティ規則
送信セキュリティ規則は、以下の通りです。
| 優先度 | 名前 | ポート | プロトコル | ソース | 宛先 | アクション |
|---|---|---|---|---|---|---|
| 65000 | AllowVnet OutBound |
任意 | 任意 | Virtual Network |
Virtual Network |
許可 |
| 65001 | AllowInternet OutBound | 任意 | 任意 | 任意 | Internet | 許可 |
| 65500 | DenyAll InBound | 任意 | 任意 | 任意 | 任意 | 拒否 |
NSGで指定できるタグ
ネットワークセキュリティグループで指定できるタグは、以下の通りです。
- VirtualNetwork
VirtualNetworkとは、仮想ネットワークアドレス空間、全ての接続されたオンプレミスのアドレス空間、ピアリングされた仮想ネットワークまたは仮想ネットワークゲートウェイに接続仮想ネットワークを含むタグです。
簡単に言えばインターネット以外の範囲がVirtualNetworkの範囲に入るため、やたらとVirtualNetworkを使っていると受診規則をフルオープンにしがちなのが落とし穴です。 - AzureLoadBalancer
AzureLoadBalancerとは、Azureのインフラストラクチャのロードバランサーを表しています。AzureLoadBalancerはAzureデータセンターIPに変換されます。 - Internet
InternetはVirtualNetwork以外の全てのアドレス空間を表すタグです。
受診規則の設定を行う際に、特定のWebサーバーのTCP/443だけを空ける時などのケースで指定します。 - AzureTrafficManager
AzureTrafficManagerは比較的新しいタグで、AzureTrafficManagerからの着信を受ける時にAzureTrafficManagerを受診規則に指定するだけで機能します。 - Storage
Storageとは、Azureストレージアカウントに対して拒否・許可を出すことができるタグです。また、Storageの後にリージョン名を記載することができるので、特定のリージョン名のみを指定することも可能です。 - Sql
Sqlとは、Azure SQL DBに対して拒否・許可を出すことができるタグです。また、Storageと同様にリージョン名を記載することができます。
ネットワークセキュリティグループ(NSG)の作成・編集手順
ネットワークセキュリティグループを作成して編集する手順は、以下の通りです。
- ネットワークセキュリティグループの作成
- セキュリティ規則の設定
- 関連付けを行う
それでは、以上の手順についてご説明しましょう。
①ネットワークセキュリティグループの作成
最初にネットワークセキュリティグループを作成していきます。
ネットワークセキュリティグループを作成する時の手順は、以下の通りです。
- 「Azure portal」メニュー上や「ホーム」ページから「リソースの作成」を選択する
- 「ネットワーク」を選択した後、「ネットワークセキュリティグループ」を選択する
- 「ネットワークセキュリティグループの作成」ページの「基本」タブで、サブスクリプション、リソースグループ、名前、リージョンの設定値を設定する
- 「レビュー+作成」を選択する
- 『検証に成功しました』というメッセージが表示されたら「作成」を選択して完了
なお、Azureの場所やサブスクリプションごとに作成できるネットワークセキュリティグループ数には制限があるので注意しましょう。
②セキュリティ規則の設定
続いてセキュリティ規則の設定を行う手順は、以下の通りです。
- Azure portalに移動してネットワークセキュリティグループを検索して選択する
- セキュリティ規則を追加するネットワークセキュリティグループの名前を選択する
- ネットワークセキュリティグループのメニューバーで「受信セキュリティ」か「送信セキュリティ」を選択する
- 既存の規則が一覧表示されるため、ネットワークセキュリティグループを作成するとその中に既存の規則がいくつか作成される
- 状況に応じて、ソース、ソースIPアドレス、ソースサービスタグ、ソースアプリケーションのセキュリティグループ、ソースポート範囲、宛先、宛先IPアドレス、宛先サービスタグ、宛先アプリケーションのセキュリティグループ、宛先ポート範囲、プロトコル、操作、優先順位、名前、説明を設定する
③関連付けを行う
作成したネットワークセキュリティグループの関連付けを行う手順は、以下の通りです。
- Azure portal上やホームから「サブネット」を選択し、「関連付け」を選択する
- 「仮想ネットワーク」を選択する
- 「サブネット」を選択する
- 「OK」ボタンを選択して関連付けの完了
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
Azureのネットワークセキュリティグループ(NSG)は様々な特徴を持っており、そのままでは不正アクセスされ放題の仮想ネットワークを守ってくれる大切なサービスです。adやOffice365にはないような機能があり、優れたセキュリティ体制によってしっかりと仮想ネットワークを守ってくれます。
自社の大事な情報を外部に漏洩させないためにも、Azureのネットワークセキュリティグループを導入する必要性があると言えるでしょう。
![[Azure]最新事例から学ぶ社内DX「Azure OpenAI Service ソリューションセミナー」](https://www.cloud-for-all.com/hubfs/images/cta/cta-footer-azure-openai-service-solution-1.png "[Azure]最新事例から学ぶ社内DX「Azure OpenAI Service ソリューションセミナー」")
