【Azure】 NSG(Network Security Groups)の概要

2023.02.26
ネットワークセキュリティグループ(NSG)は、Azureに組み込まれたツールで、ネットワークインターフェースまたはサブネットレベルで、受信および送信トラフィックを制御し、Azureリソースのセキュリティを向上させることができます。
この記事では、ネットワークセキュリティグループ(NSG) とは何か、その特徴、留意事項、および設定手順について説明します。
スポンサーリンク

ネットワークセキュリティグループ(NSG) とは

NSGは、アクセス制御に使用でき、カスタムルールを使ってプロトコルやポート範囲に基き、受信・送信トラフィックをフィルタリングすることができます。
以下の5つのタプル情報を基に、トラフィックを許可または拒否することができます。
  • 送信元アドレス
  • 送信先アドレス
  • 送信元ポート
  • 送信先ポート
  • プロトコル
NSGは、サブネットまたはネットワークインターフェイスカード(NIC)のいずれかに関連付けることができます。サブネットに関連付けられる場合、NSGはそのサブネットに関連付けられたすべてのリソースにセキュリティルールを適用します。一方、NICに関連付けられる場合、セキュリティルールはそのNICに関連付けられた仮想マシン(VM)にのみ適用されます。
1つのNSGは複数のサブネットまたはNICに接続できますが、各サブネットまたはNICに接続できるNSGは1つだけです。
スポンサーリンク

留意事項

NSG には、留意すべき項目があります。

デフォルトの受信セキュリティポリシー

Azure Load BalancerまたはAzure Virtual Networkからのトラフィックはデフォルトで許可されますが、インターネットからのトラフィックなどは拒否されます。インターネットからの通信を許可するには、明示的に許可する必要があります。

優先順位

ルールを作成する際には、優先度を考慮する必要があります。優先順位が高いルール(優先度の値が小さい)が最初に処理されます。例えば、同じトラフィックの拒否ルールと許可ルールがある場合、優先順位が高いルールが優先され、優先順位が低いルールは無視されます。

リージョンとサブスクリプションの制限

NSGは、同じリージョンおよびサブスクリプション内のリソースのアクセス制御とトラフィックフィルタリングにのみ使用できます。

ルール数の制限

各NSGは最大200のルールまで設定できます。
スポンサーリンク

設定方法

NSGの作成

Azureポータルの検索バーで「ネットワークセキュリティグループ」を検索し、ネットワークセキュリティグループをクリックします。

[作成] をクリックします。

NSGを作成するリソースグループ名前を設定します。
  • リソースグループ:あらかじめ作成済みのRG-VMを選択します。新規作成することも可能です。
  • 名前:任意の名前(今回は、allow-RDP)を設定します。
リソースグループについては下記を参考にしてください。
【Azure】リソースグループの概要と追加・削除
リソースグループでは、さまざまなリソースを論理的にグルーピングすることができます。リソースグループは、アプリケーションやサービスを実行するために必要なすべてのリソースのための論理コンテナです。 たとえば、仮想マシン、データベース、およびスト...
hirotanoblog.com
2023.02.11

確認および作成 をクリックします。

[作成]をクリックします。

下記のとおり、新規のNSGが作成されました。名前をクリックします。

[設定] メニューから、[受信セキュリティ規則] を選択し、[追加] をクリックします。

下記の画面で、インバウンド用の受信セキュリティ規則を設定します。今回は、インターネットから仮想ネットワークのアドレス空間に対して、RDP(TCP3389番)を許可するルールとします。

  • ソースService Tag を選択します。選択後、ソースサービスタグを選択できるようになります。
  • ソースサービスタグInternetを選択します。
  • ソース ポート範囲:制限しないので、アスタリスクのままにします。
  • 宛先Service Tag を選択します。選択後、宛先サービスタグを選択できるようになります。
  • 宛先サービスタグVirtualNetworkを選択します。
  • サービスRDPを選択します。その他、HTTPSやSSHなども選択できます。Customを選択すると任意のポート番号も設定することができます。
  • アクション許可 を選択します。
  • 優先度:デフォルトルール(値は65000以降)より優先したいため、65000より低い値を設定します。ここでは、100を設定します。
  • 名前:任意の名前。今回は、AllowTagRDPInboundとします。
設定完了後、[追加]をクリックします。
サービスタグについては、下記のドキュメントを参考にしてください。

  >> 参考 : 仮想ネットワーク サービス タグ 

Azure サービス タグの概要
サービス タグについて確認します。 サービス タグを使用すると、セキュリティ規則の作成の複雑さを最小限に抑えることができます。
learn.microsoft.com
下記のとおり登録されます。

警告マークが表示されているのは、RDPポートがインターネットに公開されていることに対するセキュリティの警告です。

NSGの関連付け

上で作成したNSGをサブネットに関連付けします
今回は、あらかじめ設定されている仮想ネットワーク(RG-VM-vnet)内のサブネット(default)へ関連付けます。
仮想ネットワーク、サブネットの概要は下記を参考にしてください。
【Azure】仮想ネットワーク(VNet)の概要
仮想ネットワーク(Azure Virtual Network)は、Azure内にプライベートネットワークを配置するサービスで、Azureリソース間やインターネット、オンプレミス環境へアクセスするために使用されます。 この記事では、仮想ネット...
hirotanoblog.com
2023.02.15

NSGの詳細画面左メニューの [設定] にある [サブネット] を選択し、[関連付け] をクリックします。

関連付けしたい仮想ネットワークとそのサブネットを選択し、[OK]をクリックします。

下記のとおり、登録されます。これで、サブネットdefault)内の仮想ネットワークに対して、インターネットからRDPの接続が許可されます。

スポンサーリンク

まとめ

Azureのネットワークセキュリティグループ(NSG)について説明しました。NSGは、受信および送信トラフィックを制御し、Azureリソースのセキュリティを向上させることができます。NSGは、サブネットまたはNICに関連付けられ、送信元アドレス、送信先アドレス、送信元ポート、送信先ポート、プロトコルを基にトラフィックを許可または拒否することができます。また、この記事では、NSGの作成方法と留意事項についても説明しました。

コメント