JAZUG札幌支部(きたあず)第21回勉強会で登壇した資料です。 Azure Network Security Group(NSG)について私的見解も 一部公開当時の内容から修正しました。

1. Azure Network Security Group(NSG)のおさらい
JAZUG札幌支部(きたあず) 第21回勉強会
yoshimasa.katakura@yo_ta_n

2. 自己紹介
片倉 義昌 (かたくら よしまさ)
(株)pnopで働いてます
Azureコンサルティングとかしてます
元インフラエンジニア、元プログラマ(C, ASM)
Microsoft MVP for Azure (2017～)
2
yoshimasa.katakura@yo_ta_n
はい次12345678910

3. ※2019/11/30 18時時点での検索結果
「azure nsg」で検索してみると
3
Copyright© 2019, Y.Katakura All Rights Reserved.
Qiitaの自分の記事が注目されている事がわかった
(https://qiita.com/yotan/items/d5e3e8dcc94a2099fa05)

4. 調子に乗って今日はNSGのお話をします！
4

5. まずはAzure IaaSとPaaSのおさらい
(いつものスライド)
5
Copyright© 2019, Y.Katakura All Rights Reserved.
Office 365
Dynamics 365
Microsoft Azure
オンプレミス IaaS(仮想マシン) PaaS SaaS
アプリケーション
データ
ランタイム
ミドルウェア
OS
仮想化技術
サーバー
ストレージ
ネットワーク
仮想化技術
サーバー
ストレージ
ネットワーク
OS
データ
ランタイム
ミドルウェア
アプリケーション
お客様 マイクロソフト
お客様によるセキュリティ、運用管理の責任

6. IaaSの基本構成おさらい
6
Copyright© 2019, Y.Katakura All Rights Reserved.
(VM)
(OS Disk) (DATA Disk)
(NIC)
(NSG)
(NSG)
(PIP)
(Load Balancer)
(192.168.1.4)
(192.168.1.10)
(192.168.1.11)
(192.168.0.4)
• 仮想マシンは仮想ネットワーク内のサブネットに配置する(厳密にはNIC)
• 仮想マシンのNICは1つ以上利用可能
• 仮想マシンにはOSディスクの他にデータディスクが追加可能
• 仮想マシンのNICにはパブリックIPアドレスを追加可能
• ロードバランサには内部ロードバランサとパブリックIPを持つ外部ロードバランサがある
• Network Securiry Group(NSG)はサブネット若しくはNICに適用可能

7. IaaSの市民権について
PaaS推しをするAzureコンサルタントが増えています
「アプリケーション基盤の運用とか可用性を考えるの
メンドイですよね！」
「サーバレスとかマイクロサービス、コンテナも使えますよ！」
「IoT基盤だったら、IoT Hub, Stream Analytics, CosmosDB, Power BIの
鉄板構成でバッチリですよ！」
「Machine LearningもCognitiveも使えばAIも完璧！」
「クローズドな環境でApp Service使いたい？でしたら
Application Service Environmentですよ！」
……どれも間違いではないのですが。
7
Copyright© 2019, Y.Katakura All Rights Reserved.

8. やっぱりIaaS環境もとても大事
オンプレミスで動いているWindows, Linuxサーバをリフト＆シ
フトでクラウドに持っていきたい
それでオンプレミスからは閉域接続したい
業務アプリケーションがPaaS対応していないので、IaaSでアプ
リケーションをインストールして利用したい
できればデータベースはクラウド移行したタイミングでフルマ
ネージドなPaaSを利用したい
でも通信は安全に接続したい
……実際こういった相談もまだまだあります。
8
Copyright© 2019, Y.Katakura All Rights Reserved.

9. 仮想ネットワークに入れられるPaaS
9

10. Azure Application Gateway
L7レベルのロードバランサー、リバースプロクシ、WAF機能を持つ
Application Gatewayは仮想ネットワーク上に配置できます
10
Copyright© 2019, Y.Katakura All Rights Reserved.
https://docs.microsoft.com/ja-jp/azure/application-gateway/
インターネットからのア
クセス(TCP/80,
TCP/443)があると、内
部のWebサーバに転送
してくれる(雑
(Application Gateway)
(Virtual Machines)

11. Azure Kubernetes Service(AKS)
KubernetesのPaaSであるAKSは仮想ネットワーク上に配置できま
す
11
Copyright© 2019, Y.Katakura All Rights Reserved.
https://azure.microsoft.com/ja-jp/services/kubernetes-service/
コンテナコンテナ
仮想マシンからAKSで作
成したロードバランサ経
由でコンテナにアクセス
閉域でアクセス可能
(Virtual Machine)
(AKS)
(load Balancer)

12. Azure Cache for Redis
Azure App Service Environment(ASE)
RedisもASEも仮想ネットワーク上に配置できます
12
Copyright© 2019, Y.Katakura All Rights Reserved.
https://azure.microsoft.com/ja-jp/services/cache/
https://docs.microsoft.com/ja-jp/azure/app-service/environment/intro
(Virtual Machine)
(Redis) (ASE)
仮想マシンから閉域網で
App Serviceにアクセス
仮想ネットワーク内
からRedisにアクセス

13. 仮想ネットワークから安全に接続で
きるPaaS
13

14. 仮想ネットワークサービスエンドポイン
トで各種PaaSを閉域接続できます
以下のサービスがGeneral Availability(GA)
Azure Storage
Azure SQL Database
Azure Database for PostgreSQL
Azure Database for MySQL
Azure Cosmos DB
Azure Key Vault
以下のサービスはPreview
Azure SQL Data Warehouse
Azure Service Bus
Azure Event Hubs
Azure Data Lake Store Gen 1
14
Copyright© 2019, Y.Katakura All Rights Reserved.

15. サービスエンドポイントとは
特定の仮想ネットワークから「のみ」接続できるように制限で
きる各PaaS側のファイアーウォール機能の一つ
仮想マシンから各PaaSへ接続するときのアクセス先(エンドポ
イント)のホスト名やURLは今までと一緒
ストレージアカウントだったら
https://storageaccount01.blob.core.windows.net/
SQLDBだったら
sqldb01.database.windows.net:1433
15
Copyright© 2019, Y.Katakura All Rights Reserved.

16. やっとNetwork Security Group(NSG)のお話
16

17. NSGの適用範囲
NSGはAzureのリソースの一つ
以下の箇所に適用可能
仮想ネットワーク内のサブネット
仮想マシンのNIC
ひとつのNSGを複数のサブネッ
ト、NICに適用可能
17
Copyright© 2019, Y.Katakura All Rights Reserved.
仮想ネットワーク
サブネット1
VM-1 VM-2
NSG-1
サブネット2
VM-3 VM-4
NSG-2
NSG-VM3

18. NSGに適用可能なルール
受信セキュリティ規則、送信セキュリティ規則がある
それぞれのセキュリティ規則の中に必要なルールを追加していく
各ルールには「優先度」があり、ユーザは100～4096の範囲が使用可
能
デフォルトルールというものが規定で作成される(削除できない)
受信セキュリティ規則
• 65000:仮想ネットワークからの受信は全部OK
• 65001:Azure Load Balancerからの受信は全部OK
• 65500:全ての受信を拒否
送信セキュリティ規則
• 65000:仮想ネットワークへの送信は全部OK
• 65001:インターネットへの送信は全部OK
• 65500:全ての送信を拒否
18
Copyright© 2019, Y.Katakura All Rights Reserved.

19. NSGに設定するルールについて
ソース(送信元)
Any(全て)、IP Address(CIDR形式、複数
記述可能)、サービスタグ、
Application Security Group名
ソースポート範囲
複数記述可能、5000-5100等の範囲指
定も可能
通常指定しない(*にする)場合が多い
宛先(送信先)
Any(全て)、IP Address(CIDR形式、複数
記述可能)、サービスタグ、
Application Security Group名
宛先ポート範囲
複数記述可能、5000-5100等の範囲指
定も可能
プロトコル
Any, TCP, UDP
アクション
許可、拒否
優先度
100～4096の範囲で指定、値が小さい
程高優先になる
名前
任意の名前、受信セキュリティ規則、
送信セキュリティ規則、デフォルト
ルールの名前と重複してはいけない
後から変更不可
19
Copyright© 2019, Y.Katakura All Rights Reserved.

20. NSGルールで指定可能なサービスタグ
VirtualNetwork
AzureLoadBalancer
Internet
AzureCloud/ AzureCloud.[RegionName]
AzureTrafficManager
Storage / Storage.[RegionName]
Sql / Sql.[RegionName]
AzureCosmosDB / AzureCosmosDB.[RegionName]
AzureKeyVault / AzureKeyVault.[RegionName]
EventHub / EvnetHub.[RegionName]
ServiceBus / ServiceBus.[RegionName]
MicrosoftContainerRegistry /
MicrosoftContainerRegistry.[RegionName]
AzureContainerRegistry /
AzureContainerRegistry.[RegionName]
AppService / AppService.[RegionName]
AppServiceManagement /
AppServiceManagement.[RegionName]
ApiManagement
AzureConnectors / AzureConnectors.[RegionName]
GatewayManager
AzureDataLake
AzureActiveDirectory
AzureMonitor
ServiceFabric
AzureMachineLearning
BatchNodeManagement
20
Copyright© 2019, Y.Katakura All Rights Reserved.
Azure Database for MySQL,
PostgreSQLはまだ未対応なの
ね……
https://docs.microsoft.com/ja-jp/azure/virtual-network/security-overview

21. サービスタグ中に書かれている実際のIP
アドレス
VirtualNetwork, AzureLoadBalancer, Internet以
外のものは以下のサイトから最新のIPアドレ
ス一覧をダウンロード可能です
Azure IP Ranges and Service Tags – Public Cloud
https://www.microsoft.com/en-us/download/details.aspx?id=56519
21
Copyright© 2019, Y.Katakura All Rights Reserved.

22. NSGのルール説明(1)
VM-1からVM-3にアクセスする場
合のNSG参照順序
① NSG-1の送信セキュリティ規則
② NSG-2の受信セキュリティ規則
③ NSG-VM3の受信セキュリティ規則
22
Copyright© 2019, Y.Katakura All Rights Reserved.
仮想ネットワーク
サブネット1
VM-1 VM-2
NSG-1
サブネット2
VM-3 VM-4
NSG-2
NSG-VM3

23. NSGのルール説明(2)
VM-1からVM-2にアクセスする場
合のNSG参照順序
① NSG-1の送信セキュリティ規則
② NSG-1の受信セキュリティ規則
同一セグメント(サブネット)内のサーバに対して
もNSGが適用されていることに注意
(デフォルトのNSGルールでVirtualNetwork間は全
許可になっているだけなので誤解してしまう)
23
Copyright© 2019, Y.Katakura All Rights Reserved.
仮想ネットワーク
サブネット1
VM-1 VM-2
NSG-1
サブネット2
VM-3 VM-4
NSG-2
NSG-VM3

24. Application Security Group(ASG)とは(1)
用途の異なる(疎通条件の異な
る)仮想マシンに対してIPアドレ
スやセグメントの指定をせずに
NSGのルールを簡素に書く手段
同一サブネットに複数の用途を
持つ仮想マシンが同居している
場合、IPアドレスをNSGに直接
記述するなど煩雑だった
24
Copyright© 2019, Y.Katakura All Rights Reserved.
サブネット1
Web-1 Web-2
DB-1 DB-2
NSG
192.168.0.10 192.168.0.11
192.168.0.20 192.168.0.21
仮想ネットワーク
192.168.0.10と192.168.0.11はTCP/80,443を許可
192.168.0.20と192.168.0.21はTCP/1433を許可

25. Application Security Group(ASG)とは(2)
用途別のASGを各仮想マシンに
設定することで、NSGのルール
にはIPアドレスの記載が不要と
なり、直接ASGを指定すること
でアプリケーションごとの制限
が可能となる。
25
Copyright© 2019, Y.Katakura All Rights Reserved.
仮想ネットワーク
サブネット1
Web-1 Web-2
DB-1 DB-2
Web用ASG
NSG
Web用ASG
DB用ASG DB用ASG
Web用ASGはTCP/80,443を許可
DB用ASGはTCP/1433を許可

26. Application Security Group(ASG)適用手順
はじめにアプリケーションの種類毎にASGのリ
ソースを作る
例えばWebサーバだったら「Web-asg」、業務
サーバだったら「Worker-asg」
仮想マシンに紐付いているNICに対して先に作成
したASGを設定する
NSGのルールでは「宛先」欄にASGを選択する
26
Copyright© 2019, Y.Katakura All Rights Reserved.

27. Azure Network Security Group
俺的Tips
27

28. こんな感じのルール作っていませんか？
Internetからのリモートデスクトップ接続を許可
あとはデフォルトのまま
28
Copyright© 2019, Y.Katakura All Rights Reserved.
これ
大丈夫ですか？
これも
大丈夫ですか？

29. リモート接続するIPアドレスは制限しま
しょう
29
Copyright© 2019, Y.Katakura All Rights Reserved.
アクセス元のIPアドレスを個別に指定して特定の拠点やPCからのみ接続可能にしましょ
う
アクセス元のIPアドレスが不定の場合にはAzure Security Centerの「Just in time access」の
利用も検討しましょう
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-just-in-time

30. VirtuelNetworkの通信もNSGで制御しま
しょう
30
Copyright© 2019, Y.Katakura All Rights Reserved.
受信セキュリティ規則のデフォルトルールにある「AllowVnetInBound」は無効化して、
必要なセグメントからのみアクセス可能にしましょう。

31. だって、これ全部「VirtualNetwork」タグ
の範囲なのです
31
Copyright© 2019, Y.Katakura All Rights Reserved.
(Point to Site VPN)
(Site to Site VPN)
(Express Route)
(VNET Peering)
(VNET to VNET VPN)
31

32. Internetからの接続は制限しててもクラウ
ド内(オンプレ含む)はガバガバ
32
Copyright© 2019, Y.Katakura All Rights Reserved.
Access
OK!
Access
OK!
Access
OK!
Access
OK!
32

33. なぜいけないのか
従来のいわゆるNorth-South型では、インターネットとの境界線での
み対応していた
しかし、オンプレミス閉域網までもがつながる環境であるEast-West
型では、閉域ネットワーク内の通信も守る必要がある
オンプレミス側の人やPCは本当に安全ですか？
悪意のある人はゼロですか？誰もミスしませんか？
ウイルス感染しているPCは1台もありませんか？
万全を考えれば、次世代ファイアーウォールと言われている製品を
Azure仮想ネットワーク上に仮想アプライアンスとして導入して、
North-South / East-Westの通信全てを管理すればいいけど、コストも
かかる
(NSGは無料で利用できますよ)
33
Copyright© 2019, Y.Katakura All Rights Reserved.

34. なので、VirtuelNetworkの通信もNSG
で制御しましょう
(大事な事なので2回書きました)
34

35. 送信セキュリティ規則で外部通信を遮断
InternetへのOutbound通信を拒否したい場合ってありますよね
お客さんの(オンプレ時代からの)セキュリティールールに沿ってとか
35
Copyright© 2019, Y.Katakura All Rights Reserved.
ドキドキ

36. Internet宛通信を全て拒否すると何が起こりそうか
Windows Serverがライセンスサーバ(kms.core.windows.net)と通信でき
なくなり、動かなくなる
（後日修正：こちらは記載ミスでした。ライセンスサーバへの
通信はNSGの送信セキュリティ規則に関係なく疎通します)
Windows Updateが使えなくなる
Linuxでyumやaptが使えなくなる
ウイルス定義ファイルの更新ができなくなる
Azureの各種サービスにアクセスできなくなる
(ストレージもLog Analyticsも何もかも)
GoogleとかYouTubeも見られなくなる(
36
Copyright© 2019, Y.Katakura All Rights Reserved.

37. 解決案
TCP/80, TCP/443くらいは空けてもいいと思います(業務要件次第ですが)
仮想マシンの起動に必要なDNS, DHCPについてはNSGの送信セキュリティ
規則の内容に関係なくAzureの管理IPアドレス(168.63.129.16)に正しくア
クセス可能です
Azureの各PaaSには前述したサービスタグを使って適切なポートを追加で
空けてください
37
Copyright© 2019, Y.Katakura All Rights Reserved.

38. まとめ
インターネットからのアクセス制御だけではなく、
仮想ネットワーク内の通信も制御しましょう
NSGの送信セキュリティ規則は適切に制御しない
といろいろ不都合が起きるのでしっかり検討しま
しょう
ASGのことも、たまには思い出して
38
Copyright© 2019, Y.Katakura All Rights Reserved.

39. ご静聴ありがとうございました
39