仮想ネットワークフローログで、予期しない通信が許可されている

Question

仮想ネットワークフローログで、予期しない通信が許可されている

達也藤森 40

仮想ネットワークフローログにて、AclRule = "platformrule" において、TCP:23 や TCP:80 といったVMへの通信が InBound で許可されているログを発見しました。

FlowType が AzurePublic であるものに関しては Azure の内部通信で使っているものと予期することができますが、 FlowType が ExternalPublic で許可されている通信については、 NSG にてブロックされることが予期されるものであるため、正しく通信拒否ができていないのではないかと不安になっています。

一方で、VMのログからは当該通信が行われた形跡を発見できず、通信が許可されているか拒否されているか、検証することも難しいです。

ExternalPublic で許可されているこれらのIP は、 AbuseIPDB にて危険であると判断されているものもあり、これらの通信についてブロックできないかと考えています。

simo-k 11,305 評価のポイントボランティアモデレーター

2025-06-05T23:17:36.3033333+00:00

「Microsoft Q&A」タグは、質問投稿などについてのフィードバック用ですのでタグを「監視対象外」に変更しました。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-06T01:21:44.07+00:00

こんにちは、藤森達也さん,

あなたが仮想ネットワークのフローログに問題を抱えていることを理解しています。特にExternalPublicフロータイプに関して、予期しないポート23および80での着信TCP通信のエントリが表示されています。考慮すべきことは次のとおりです。あなたが言及したフロータイプ「AzurePublic」と「ExternalPublic」は、異なるシナリオを示しています。「AzurePublic」は通常、Azureの内部通信を表し、「ExternalPublic」は仮想ネットワークの外部からの許可されたトラフィックを反映します。「ExternalPublic」下で予期しないオープン通信が見られる場合、Network Security Group（NSG）ルールが意図した通りに設定されていない可能性があります。不要な着信トラフィックを拒否するようにNSGルールが設定されていることを確認するために、NSGルールを再確認してください。Azure CLIまたはAzureポータルを使用して、仮想ネットワークと仮想マシンに関連付けられたNSGに設定されたルールを確認できます。

Azureで「Test IP flow」機能を利用して、ログに記録されている通信が実際にNSGによって許可されているかを確認してください。これにより、問題がNSGルールにあるのか、それとも他に何か問題があるのかを特定するのに役立ちます。仮想マシンのログにこのトラフィックの証拠が表示されないとおっしゃっていたので、これはログが期待通りに機能しているか、トラフィックが仮想マシンに到達する前にブロックされている可能性を示唆しています。関連する受信トラフィックをキャッチするために、仮想マシンのログが正しく設定されていることを確認してください。もし、見ているIPがAbuseIPDBなどのプラットフォームで危険としてフラグ付けされている場合、これらのIPを明示的にブロックするためにNSGに特定のルールを作成することができます。上記の情報が役に立つことを願っています。さらに質問があればお知らせください。

この記事を参照してください : https://learn.microsoft.com/en-us/azure/network-watcher/ip-flow-verify-overview
達也藤森 40 評価のポイント

2025-06-06T03:14:41.9733333+00:00

Shravan Addagatla さん、コメントいただき、ありがとうございます。

当該 VM の所属するサブネットは NSG が正しく適用されており、案内いただいた「Test IP Flow」により Allow となった ExternalPublic の IP との疎通を試した結果、「DenyAllInbound」ルールによりブロックされる振る舞いとなることがわかりました。

また、質問では触れていませんでしたが、platformrule により許可される Inbound は一部のみであり、一般には「DenyAllInbound」ルールにより正しくブロックされています。また、許可された通信についても、NSGの特定ルール（例えば「AllowCustomPortInbound」のような）により許可されるログが残っていることから、「platformrule」はNSG以外によって評価されているのではないかと考えています。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-06T04:16:28.0233333+00:00

こんにちは、藤森達也さん,

プラットフォームルールで許可されたトラフィックが表示されているログとスクリーンショットを共有していただけますか？こちら側でさらに詳しく調査いたします。

これらの情報はプライベートメッセージで共有できます。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-06T08:25:36.86+00:00

こんにちは、藤森達也さん,

私は確認したところ、すでに数人の顧客が同じ問題を報告しており、製品グループチームもこの件について認識しています。彼らはそれをバグとして特定し、解決するために必要な作業項目を作成しました。しかし、そういったIPをブロックするための明示的なインバウンドNSGルールを管理できますか？
達也藤森 40 評価のポイント

2025-06-06T09:11:22.7333333+00:00
Shravan Addagatla さん、ありがとうございます。

現在製品グループチームが対処に当たっているとのこと、承知しました。ご対応いただき、ありがとうございます。

2点、確認してもよろしいでしょうか？

この問題は、「拒否している通信が誤って『Allow』とログが残ってしまう」タイプであるか、「DenyAllInboundにより拒否されるはずの通信が、実際には許可されている」タイプであるか、今の段階で答えられる情報がある場合は教えていただけますか？

「そういったIPをブロックするための明示的なインバウンドNSGルール」とは、「DenyAllInbound」より優先度の高いカスタムルールとして、不要な通信をすべてブロックする「DenyAllCustomInbound」のようなルールを明示的に作成する、ということでよろしいでしょうか。

以上、よろしくお願いします。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-06T11:02:43.2433333+00:00

こんにちは、藤森達也さん,

はい、プラットフォームルールでは「許可」として記録されていますが、実際にはNSGルールによって拒否されています。また、PGチームは、VNETフローのロギングがその設計上、タイムアウトフローをプラットフォームルールとして示すことを述べています。VNETフローのタイムアウト値を調整することで、アクティブフローを維持するのに役立つかもしれません。私たちは、プラットフォームルールを表示するのではなく、顧客にとってより意味のある実際のACL値を表示するためのシナリオの微調整に取り組んでいます。現在、これらのプラットフォームルールは顧客環境に影響を与えないため、無視しています。VNETフローログを改善するための変更リクエストがすでに行われており、来月末までに全地域に影響が及ぶことが期待されています。なお、二つ目の質問は、上記のように異なるケースであるため無視できます。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-09T14:08:01.2633333+00:00

こんにちは、藤森達也さん,

上記の情報がお役に立ちましたか？また、他にご質問がございましたら、お気軽にお問い合わせください。

承認済みの回答

0 件の追加の回答

お客様の回答

simo-k 11,305 評価のポイントボランティアモデレーター

2025-06-05T23:17:36.3033333+00:00

「Microsoft Q&A」タグは、質問投稿などについてのフィードバック用ですのでタグを「監視対象外」に変更しました。
達也藤森 40 評価のポイント

2025-06-06T03:14:41.9733333+00:00

Shravan Addagatla さん、コメントいただき、ありがとうございます。

当該 VM の所属するサブネットは NSG が正しく適用されており、案内いただいた「Test IP Flow」により Allow となった ExternalPublic の IP との疎通を試した結果、「DenyAllInbound」ルールによりブロックされる振る舞いとなることがわかりました。

また、質問では触れていませんでしたが、platformrule により許可される Inbound は一部のみであり、一般には「DenyAllInbound」ルールにより正しくブロックされています。また、許可された通信についても、NSGの特定ルール（例えば「AllowCustomPortInbound」のような）により許可されるログが残っていることから、「platformrule」はNSG以外によって評価されているのではないかと考えています。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-06T04:16:28.0233333+00:00

こんにちは、藤森達也さん,

プラットフォームルールで許可されたトラフィックが表示されているログとスクリーンショットを共有していただけますか？こちら側でさらに詳しく調査いたします。

これらの情報はプライベートメッセージで共有できます。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-06T08:25:36.86+00:00

こんにちは、藤森達也さん,

私は確認したところ、すでに数人の顧客が同じ問題を報告しており、製品グループチームもこの件について認識しています。彼らはそれをバグとして特定し、解決するために必要な作業項目を作成しました。しかし、そういったIPをブロックするための明示的なインバウンドNSGルールを管理できますか？
達也藤森 40 評価のポイント

2025-06-06T09:11:22.7333333+00:00

Shravan Addagatla さん、ありがとうございます。

現在製品グループチームが対処に当たっているとのこと、承知しました。ご対応いただき、ありがとうございます。

2点、確認してもよろしいでしょうか？

この問題は、「拒否している通信が誤って『Allow』とログが残ってしまう」タイプであるか、「DenyAllInboundにより拒否されるはずの通信が、実際には許可されている」タイプであるか、今の段階で答えられる情報がある場合は教えていただけますか？

「そういったIPをブロックするための明示的なインバウンドNSGルール」とは、「DenyAllInbound」より優先度の高いカスタムルールとして、不要な通信をすべてブロックする「DenyAllCustomInbound」のようなルールを明示的に作成する、ということでよろしいでしょうか。

以上、よろしくお願いします。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-06T11:02:43.2433333+00:00

こんにちは、藤森達也さん,

はい、プラットフォームルールでは「許可」として記録されていますが、実際にはNSGルールによって拒否されています。また、PGチームは、VNETフローのロギングがその設計上、タイムアウトフローをプラットフォームルールとして示すことを述べています。VNETフローのタイムアウト値を調整することで、アクティブフローを維持するのに役立つかもしれません。私たちは、プラットフォームルールを表示するのではなく、顧客にとってより意味のある実際のACL値を表示するためのシナリオの微調整に取り組んでいます。現在、これらのプラットフォームルールは顧客環境に影響を与えないため、無視しています。VNETフローログを改善するための変更リクエストがすでに行われており、来月末までに全地域に影響が及ぶことが期待されています。なお、二つ目の質問は、上記のように異なるケースであるため無視できます。
Shravan Addagatla 1,530 評価のポイント Microsoft 外部スタッフモデレーター

2025-06-09T14:08:01.2633333+00:00

こんにちは、藤森達也さん,

上記の情報がお役に立ちましたか？また、他にご質問がございましたら、お気軽にお問い合わせください。

Answer 1

こんにちは、藤森達也さん,

はい、プラットフォームルールでは「許可」として記録されていますが、実際にはNSGルールによって拒否されています。また、PGチームは、VNETフローのロギングがその設計上、タイムアウトフローをプラットフォームルールとして示すことを述べています。VNETフローのタイムアウト値を調整することで、アクティブフローを維持するのに役立つかもしれません。私たちは、プラットフォームルールを表示するのではなく、顧客にとってより意味のある実際のACL値を表示するためのシナリオの微調整に取り組んでいます。現在、これらのプラットフォームルールは顧客環境に影響を与えないため、無視しています。VNETフローログを改善するための変更リクエストがすでに行われており、来月末までに全地域に影響が及ぶことが期待されています。なお、二つ目の質問は、上記のように異なるケースであるため無視できます。提供された情報が役に立った場合は、「回答を受け入れる」と「はい」をクリックしてスレッドを閉じることを忘れないでください。これは他のコミュニティメンバーにとっても有益です。

次の方法で共有

仮想ネットワークフローログで、予期しない通信が許可されている

0 件の追加の回答

お客様の回答