Azure CLI を使用して、セキュリティ グループ ビューで仮想マシンのセキュリティを分析する
Note
セキュリティ グループ ビュー API は管理されなくなったため、間もなく非推奨となる予定です。 同じ機能を提供する有効なセキュリティ ルール機能を使用してください。
セキュリティ グループ ビューは、仮想マシンに適用される構成済みの効果的なネットワーク セキュリティ規則を返します。 この機能は、ネットワーク セキュリティ グループおよび VM に構成されている規則を監査および診断して、トラフィックが正常に許可または拒否されていることを確認する際に役立ちます。 この記事では、Azure CLI を使用して、構成済みで効果的なセキュリティ規則を仮想マシン用に取得する方法を説明します。
この記事の手順を実行するには、Windows、Linux、または macOS 用の Azure CLI をインストールする必要があります。
開始する前に
このシナリオは、Network Watcher の作成に関するページの手順を参照して、Network Watcher を作成済みであることを前提としています。
シナリオ
この記事で取り上げているシナリオでは、特定の仮想マシンにおいて構成済みで効果的なセキュリティ規則を取得します。
VM の取得
vm list コマンドレットを実行するには仮想マシンが必要です。 次のコマンドは、リソース グループ内の仮想マシンを一覧表示します。
az vm list -resource-group resourceGroupName
仮想マシンについて理解したら、vm show コマンドレットを使用してリソース ID を取得できます:
az vm show -resource-group resourceGroupName -name virtualMachineName
セキュリティ グループ ビューの取得
次に、セキュリティ グループ ビューの結果を取得します。
az network watcher show-security-group-view --resource-group resourceGroupName --vm vmName
結果の表示
次の例は、返された結果の応答を短縮したものです。 この結果には、仮想マシンに適用される効果的なセキュリティ規則のすべてが NetworkInterfaceSecurityRules、DefaultSecurityRules、EffectiveSecurityRules の各グループに細分化されて示されています。
{
"networkInterfaces": [
{
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkInterfaces/{nicName}",
"resourceGroup": "{resourceGroupName}",
"securityRuleAssociations": {
"defaultSecurityRules": [
{
"access": "Allow",
"description": "Allow inbound traffic from all VMs in VNET",
"destinationAddressPrefix": "VirtualNetwork",
"destinationPortRange": "*",
"direction": "Inbound",
"etag": null,
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups//providers/Microsoft.Network/networkSecurityGroups/{nsgName}/defaultSecurityRules/AllowVnetInBound",
"name": "AllowVnetInBound",
"priority": 65000,
"protocol": "*",
"provisioningState": "Succeeded",
"resourceGroup": "",
"sourceAddressPrefix": "VirtualNetwork",
"sourcePortRange": "*"
}...
],
"effectiveSecurityRules": [
{
"access": "Deny",
"destinationAddressPrefix": "*",
"destinationPortRange": "0-65535",
"direction": "Outbound",
"expandedDestinationAddressPrefix": null,
"expandedSourceAddressPrefix": null,
"name": "DefaultOutboundDenyAll",
"priority": 65500,
"protocol": "All",
"sourceAddressPrefix": "*",
"sourcePortRange": "0-65535"
},
{
"access": "Allow",
"destinationAddressPrefix": "VirtualNetwork",
"destinationPortRange": "0-65535",
"direction": "Outbound",
"expandedDestinationAddressPrefix": [
"10.1.0.0/24",
"168.63.129.16/32"
],
"expandedSourceAddressPrefix": [
"10.1.0.0/24",
"168.63.129.16/32"
],
"name": "DefaultRule_AllowVnetOutBound",
"priority": 65000,
"protocol": "All",
"sourceAddressPrefix": "VirtualNetwork",
"sourcePortRange": "0-65535"
},...
],
"networkInterfaceAssociation": {
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkInterfaces/{nicName}",
"resourceGroup": "{resourceGroupName}",
"securityRules": [
{
"access": "Allow",
"description": null,
"destinationAddressPrefix": "*",
"destinationPortRange": "3389",
"direction": "Inbound",
"etag": "W/\"efb606c1-2d54-475a-ab20-da3f80393577\"",
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkSecurityGroups/{nsgName}/securityRules/default-allow-rdp",
"name": "default-allow-rdp",
"priority": 1000,
"protocol": "TCP",
"provisioningState": "Succeeded",
"resourceGroup": "{resourceGroupName}",
"sourceAddressPrefix": "*",
"sourcePortRange": "*"
}
]
},
"subnetAssociation": null
}
}
]
}
次のステップ
Network Watcher を使用したネットワーク セキュリティ グループ (NSG) の監査にアクセスして、ネットワーク セキュリティ グループの自動検証の方法を確認する。
セキュリティ グループ ビューの概要に関するページで、ネットワーク リソースに適用されるセキュリティ ルールを確認する