ネットワークセキュリティーグループ(NSG) の作成

NSGとは、Azue上に展開できるファイアーウォールです。

下記、項目によりフィルタリングが可能
・IP Addresses:任意のIPセグメントを指定できる。
・Service Tag:Azureで提供されているPaaS系のIPアドレスを指定する際に利用する。
・Application security group:フィルタリングルールのテンプレート化
・Port:任意のポート番号を指定できる。

[Service Tag]について
※PaaS系のIPアドレスは、固定ではないので指定するのが難しかった。

・Internet:グローバルIP
・VirtualNetwork:プライベートIP
・AzureLoadBalancer:ロードバランサーのプローブ用IP
・AzureKeyVault:Key Vault用IP
・AzureCosmosDB:Cosmos DB用IP
・AzureTrafficManager:トラフィックマネージャー用IP
・Storage:Blob用IP
・SQL:SQL(PaaS)用IP

[Application Security Group]について
Azure NSG 機能拡張! Application Security Group とは?

NSGを設置できる箇所
・ネットワークインターフェイス(NIC)
・サブネット
※NSGを設置できるのは、1箇所につき1つ

NSGの制限
・ネットワーク セキュリティ グループ数 最大5,000
・NSGあたりのルール数 最大1000
・アプリケーション セキュリティ グループ数 最大3,000


では、さっそく

[+新規]ー[ネットワークキング]ー[ネットワーク セキュリティ グループ]を選択

名前:NSGの表示名
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名
場所:デプロイするAzureのリージョン。

login40

作成した、NSGを選択し設定を確認

受信セキュリティ規則:受信規則を入力
送信セキュリティ規則:送信規則を入力
ネットワークインターフェイス:NICにNSGを適用する
サブネット:サブネットにNSGを適用する

nsg011

【受信セキュリティ規則】

ソース:[Any / IP Addresses / Service Tag / Application security group]
ソースポート範囲:[*]ワイルドカード ※複数登録が可能 80,443
宛先:[Any / IP Addresses / VirtualNetwork / Application security group]
宛先ポート範囲: ※複数登録が可能 192.168.1.0/24,192.168.10.0/24
プロトコル:Any / TCP / UDP
アクション:拒否 / 許可
優先度:100~4096 ※小さい数が優先
名前:ルール名
説明:コメントを記載

【送信セキュリティ規則】

ソース:[Any / IP Addresses / VirtualNetwork / Application security group]
ソースポート範囲:[*]ワイルドカード ※複数登録が可能 80,443
宛先:[Any / IP Addresses / Service Tag / Application security group]
宛先ポート範囲: ※複数登録が可能 192.168.1.0/24,192.168.10.0/24
プロトコル:Any / TCP / UDP
アクション:拒否 / 許可
優先度:100~4096 ※小さい数が優先
名前:ルール名
説明:コメントを記載


受信セキュリティ規則には、下記のような既定のルールが追加されています。※削除不可

login42

送信セキュリティ規則には、下記のような既定のルールが追加されています。※削除不可

login45

※注意
・受信IP[168.63.129.16](DNS,DHCP,LB)  送信ポート[1688](KMS)は止めないで下さい。
・VPNゲートウェイ、ExpressRoute用の[GatewaySubnet]にNSGを適用しないで下さい。
・各種Azureサービスを利用する際は、各リージョンのPIPを許可して下さい。