Azure ネットワークセキュリティグループ(NSG)とは?機能、価格、設定方法をわかりやすく解説

By /

はい、承知いたしました。Azure ネットワークセキュリティグループ(NSG)について、機能、価格、設定方法をわかりやすく解説する記事を約5000字で記述します。

Azure ネットワークセキュリティグループ(NSG)とは?機能、価格、設定方法をわかりやすく解説

Azure ネットワークセキュリティグループ (NSG) は、Azure クラウド環境における仮想ネットワークのセキュリティを強化するための重要なサービスです。NSG を使用することで、仮想マシン (VM) やその他の Azure リソースに対するネットワークトラフィックを制御し、許可または拒否するルールを設定できます。これにより、セキュリティリスクを軽減し、コンプライアンス要件を満たすことができます。

この記事では、NSG の基本的な概念から、機能、価格、設定方法、トラブルシューティングまでを網羅的に解説します。Azure を利用する上で不可欠な NSG について理解を深め、効果的なセキュリティ対策を講じるための知識を身につけましょう。

1. ネットワークセキュリティグループ (NSG) の概要

1.1. NSG とは何か?

ネットワークセキュリティグループ (NSG) は、Azure 仮想ネットワーク内のリソースに出入りするネットワークトラフィックをフィルタリングするステートフルなファイアウォールです。NSG は、複数の受信および送信セキュリティルールを含んでおり、これらのルールに基づいてトラフィックを許可または拒否します。

NSG は、次のいずれかに適用できます。

  • 仮想ネットワーク サブネット: サブネット内のすべての VM およびリソースに適用されます。
  • 個々のネットワーク インターフェイス (NIC): 特定の VM にのみ適用されます。

これにより、ネットワーク全体または特定の VM レベルで、きめ細かいセキュリティポリシーを適用できます。

1.2. なぜ NSG が重要なのか?

NSG は、Azure 環境におけるセキュリティを強化するために不可欠です。主な理由は以下のとおりです。

  • ネットワークトラフィックの制御: 不正なアクセスや悪意のあるトラフィックからリソースを保護します。
  • セキュリティ境界の定義: 仮想ネットワーク内にセキュリティ境界を作成し、リソース間の通信を制御します。
  • コンプライアンス要件の遵守: 業界のセキュリティ基準や規制に準拠するために、必要なセキュリティ対策を実装します。
  • 攻撃からの防御: DDoS 攻撃やポートスキャンなどのネットワーク攻撃からリソースを保護します。
  • セキュリティインシデントの軽減: セキュリティ侵害が発生した場合の被害を最小限に抑えます。

1.3. NSG の基本構成要素

NSG は、以下の主要な構成要素で構成されています。

  • セキュリティルール: トラフィックを許可または拒否するためのルール。各ルールは、ソース、宛先、ポート、プロトコル、アクションなどの属性で定義されます。
  • 受信ルール: 仮想ネットワーク内のリソースへの受信トラフィックを制御します。
  • 送信ルール: 仮想ネットワーク内のリソースからの送信トラフィックを制御します。
  • 優先度: 複数のルールが一致した場合に、どのルールを適用するかを決定します。優先度の低いルールが優先されます。
  • 既定のルール: 明示的なルールで定義されていないトラフィックに対する既定の動作を定義します。

2. NSG の機能と特徴

2.1. ステートフル インスペクション

NSG はステートフルなファイアウォールであるため、トラフィックの接続状態を追跡できます。これにより、応答トラフィックを自動的に許可し、不要な受信トラフィックをブロックできます。

たとえば、VM から外部の Web サーバーへの HTTP リクエストを送信する場合、NSG は送信リクエストを許可し、Web サーバーからの応答トラフィックを自動的に許可します。

2.2. サービス タグ

サービス タグは、特定の Azure サービスを表す IP アドレスプレフィックスのグループです。サービス タグを使用すると、特定の Azure サービスへのトラフィックを簡単に許可または拒否できます。

たとえば、Azure SQL Database へのトラフィックを許可するには、宛先を “Sql” サービス タグに設定したセキュリティルールを作成します。これにより、SQL Database のすべての IP アドレスへのトラフィックが許可されます。

2.3. アプリケーション セキュリティ グループ (ASG)

アプリケーション セキュリティ グループ (ASG) を使用すると、類似の機能を実行する VM をグループ化し、グループ全体にセキュリティルールを適用できます。これにより、セキュリティルールの管理が簡素化され、セキュリティポリシーの一貫性を確保できます。

たとえば、Web サーバー、アプリケーションサーバー、データベースサーバーをそれぞれ ASG にグループ化し、ASG 間で必要なトラフィックのみを許可するルールを作成できます。

2.4. ロギングと監視

NSG は、ネットワークトラフィックのログを収集し、監視するための機能を提供します。これにより、セキュリティインシデントの検出、トラフィックパターンの分析、セキュリティポリシーの最適化に役立ちます。

NSG フローログを有効にすると、NSG を通過するすべてのトラフィックに関する情報が記録されます。これらのログは、Azure Storage アカウントに保存され、Azure Network Watcher を使用して分析できます。

2.5. 統合された脅威インテリジェンス

NSG は、Microsoft の脅威インテリジェンスと統合されており、悪意のある IP アドレスやドメインからのトラフィックを自動的にブロックできます。これにより、最新の脅威からリソースを保護できます。

3. NSG の価格

NSG 自体には追加のコストはかかりません。ただし、NSG フローログを使用する場合は、ストレージアカウントの使用量に応じて料金が発生します。

NSG フローログの価格は、ログデータの量、ストレージの冗長性、保持期間などによって異なります。詳細な価格情報については、Azure の公式ドキュメントを参照してください。

4. NSG の設定方法

NSG は、Azure Portal、Azure PowerShell、Azure CLI、Azure Resource Manager (ARM) テンプレートなど、さまざまな方法で設定できます。

4.1. Azure Portal を使用した NSG の設定

  1. Azure Portal にサインインします。
  2. “ネットワークセキュリティグループ” を検索し、選択します。
  3. “作成” をクリックして、新しい NSG を作成します。
  4. 必要な情報を入力します (名前、リソースグループ、場所など)。
  5. “確認と作成” をクリックし、設定を確認して NSG を作成します。
  6. 作成した NSG を選択し、”受信セキュリティルール” または “送信セキュリティルール” をクリックして、セキュリティルールを追加します。
  7. “追加” をクリックして、新しいセキュリティルールを作成します。
  8. 必要な情報を入力します (ソース、宛先、ポート、プロトコル、アクションなど)。
  9. “追加” をクリックして、セキュリティルールを保存します。
  10. NSG をサブネットまたはネットワークインターフェイスに関連付けます。

4.2. Azure PowerShell を使用した NSG の設定

“`powershell

リソースグループ名と NSG 名を定義します

$resourceGroupName = “myResourceGroup”
$nsgName = “myNSG”
$location = “EastUS”

リソースグループが存在しない場合は作成します

if (-not (Get-AzResourceGroup -Name $resourceGroupName -ErrorAction SilentlyContinue)) {
New-AzResourceGroup -Name $resourceGroupName -Location $location
}

NSG を作成します

$nsg = New-AzNetworkSecurityGroup -Name $nsgName
-ResourceGroupName $resourceGroupName `
-Location $location

NSG をリソースグループにデプロイします

$nsg | Set-AzNetworkSecurityGroup

セキュリティルールを作成します (例: ポート 80 を許可する受信ルール)

$ruleName = “AllowHTTP”
$rule = New-AzNetworkSecurityRuleConfig -Name $ruleName
-Description “Allow HTTP traffic” -Protocol Tcp
-SourcePortRange * -DestinationPortRange 80
-SourceAddressPrefix * -DestinationAddressPrefix *
-Access Allow -Priority 100
-Direction Inbound

セキュリティルールを NSG に追加します

$nsg = Get-AzNetworkSecurityGroup -Name $nsgName
-ResourceGroupName $resourceGroupName

$nsg.SecurityRules.Add($rule)

NSG を更新します

$nsg | Set-AzNetworkSecurityGroup
“`

4.3. Azure CLI を使用した NSG の設定

“`bash

リソースグループ名と NSG 名を定義します

RESOURCE_GROUP=”myResourceGroup”
NSG_NAME=”myNSG”
LOCATION=”eastus”

リソースグループが存在しない場合は作成します

az group create –name $RESOURCE_GROUP –location $LOCATION

NSG を作成します

az network nsg create \
–resource-group $RESOURCE_GROUP \
–name $NSG_NAME \
–location $LOCATION

セキュリティルールを作成します (例: ポート 80 を許可する受信ルール)

az network nsg rule create \
–resource-group $RESOURCE_GROUP \
–nsg-name $NSG_NAME \
–name AllowHTTP \
–protocol Tcp \
–priority 100 \
–destination-port-ranges 80 \
–access Allow \
–direction Inbound \
–source-address-prefixes ‘*’
“`

4.4. ARM テンプレートを使用した NSG の設定

ARM テンプレートを使用すると、インフラストラクチャをコードとして定義し、繰り返しデプロイできます。NSG を含む ARM テンプレートの例を以下に示します。

json
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"nsgName": {
"type": "string",
"defaultValue": "myNSG",
"metadata": {
"description": "The name of the Network Security Group"
}
},
"location": {
"type": "string",
"defaultValue": "EastUS",
"metadata": {
"description": "The location for all resources."
}
}
},
"resources": [
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2020-08-01",
"name": "[parameters('nsgName')]",
"location": "[parameters('location')]",
"properties": {
"securityRules": [
{
"name": "AllowHTTP",
"properties": {
"priority": 100,
"protocol": "Tcp",
"direction": "Inbound",
"access": "Allow",
"sourcePortRange": "*",
"destinationPortRange": "80",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "*"
}
}
]
}
}
]
}

5. NSG のベストプラクティス

  • 最小特権の原則: 必要なトラフィックのみを許可し、他のすべてのトラフィックを拒否します。
  • 名前付け規則: セキュリティルールの目的を明確にするために、明確な名前付け規則を使用します。
  • 優先度の管理: ルール間の競合を避けるために、優先度を慎重に計画します。
  • 定期的なレビュー: セキュリティルールを定期的にレビューし、不要なルールを削除または更新します。
  • NSG フローログの有効化: ネットワークトラフィックを監視し、セキュリティインシデントを検出するために、NSG フローログを有効にします。
  • アプリケーション セキュリティ グループ (ASG) の活用: 類似の機能を実行する VM をグループ化し、セキュリティルールの管理を簡素化します。
  • サービス タグの活用: 特定の Azure サービスへのトラフィックを簡単に許可または拒否するために、サービス タグを使用します。
  • 既定のルールの理解: 既定のルールがトラフィックにどのように影響するかを理解し、必要に応じて変更します。

6. NSG のトラブルシューティング

  • 接続の問題: 接続の問題が発生した場合は、NSG のセキュリティルールがトラフィックをブロックしていないか確認します。
  • NSG フローログの分析: NSG フローログを分析して、トラフィックが許可または拒否されている理由を特定します。
  • ネットワーク ウォッチャー: Azure Network Watcher を使用して、ネットワークの問題を診断します。
  • NSG の評価: Azure Portal の “有効なセキュリティルール” 機能を使用して、特定の VM に適用されるすべてのセキュリティルールを確認します。
  • Azure サポート: 問題が解決しない場合は、Azure サポートに問い合わせてください。

7. まとめ

Azure ネットワークセキュリティグループ (NSG) は、Azure 環境におけるセキュリティを強化するための強力なツールです。この記事では、NSG の基本的な概念から、機能、価格、設定方法、トラブルシューティングまでを網羅的に解説しました。

NSG を効果的に活用することで、ネットワークトラフィックを制御し、セキュリティリスクを軽減し、コンプライアンス要件を満たすことができます。Azure を利用する上で不可欠な NSG について理解を深め、効果的なセキュリティ対策を講じるために、この記事が役立つことを願っています。

上記は、Azure ネットワークセキュリティグループ(NSG)に関する詳細な説明を含む記事です。必要に応じて、内容を調整したり、追加情報を加えたりしてください。

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

上部へスクロール