Azure NSG 機能拡張! Application Security Group とは?

いいね!!

NSG(ネットワーク セキュリティ グループ)の拡張機能として、ASG(アプリケーション セキュリティ グループ)が登場しました。一言で言うと「フィルタリングルールをテンプレート化できる機能」です。ただし、仮想マシンのみ適用可能です。

ASGのテンプレート化メリット
・NSGルールの行数を削減できる
・保護対象サーバーが追加された際にも、NSGルールを変更する必要がない
・保護対象サーバーのIPアドレスを意識する必要がない

ASGを有効にするための、3つの条件
①保護対象サーバーのNICにASGが適用されている事
②適用したASGが、NSGのルールに適用されている事
③NSGが保護対象サーバー上のサブネットに適用されている事
※NICに対し、ASGを複数適用する事が可能

※3つの条件を全て満たした場合のみ、ASGが適用されます。


全体の流れ

Step1:仮想ネットワーク(VNet)の作成 ※省略します。
Step2:ASGの作成
Step3:NSGでのセキュリティルールの作成
Step4:ASGのNICへの割り当て

今回は、特定のサーバーのみ「RDP(3389)」の受信許可を設定します。


Step1:仮想ネットワーク(VNet)の作成

事前に下記環境を作成しておきます。
・リソースグループ
仮想ネットワーク


Step2:ASGの作成

[+新規]ー[検索:Application Security Group]ー[Application Security Group]を選択

名前:表示名
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
リソースの場所:デプロイするAzureのリージョン

ここで設定する事はなにもない。


Step3:NSGでのセキュリティルールの作成

※「ネットワークセキュリティーグループ(NSG) の作成

ソース:Anyを選択
アプリケーションのセキュリティグループ:作成したASGを選択
宛先:Application security groupを選択
宛先ポート範囲:3389

作成したルールが登録されている事が確認できます。
※保護対象となる、サブネットに適用する


Step4:ASGのNICへの割り当て

保護対象となる仮想マシンのNICを選択

作成したASGを選択

以上で完了です!!

ASG(アプリケーション セキュリティ グループ)を適用した仮想マシンのみ、RDP接続が許可されます。