IP フロー検証と NSG 診断

  • 6 分

IP フロー検証と NSG 診断のどちらでも、ネットワークの構成によってネットワーク トラフィックがどのように制限される可能性があるかを診断できます。

IP フロー検証

IP フロー検証は、仮想マシンから送受信されるパケットの許可または拒否の状況を検証します。 この情報は、方向、プロトコル、ローカル IP、リモート IP、ローカル ポート、リモート ポートで構成されます。 パケットがセキュリティ グループにより拒否された場合、そのパケットを拒否した規則の名前が返されます。 管理者は、任意の送信元または送信先の IP を選択でき、IP フロー検証を使用してインターネットまたはオンプレミス環境との接続の問題をすばやく診断できます。

IP フロー検証では、サブネットや仮想マシン NIC など、ネットワーク インターフェイスに適用されるすべてのネットワーク セキュリティ グループ (NSG) に対するルールが調べられます。 次に、そのネットワーク インターフェイスに関する構成済みの設定に基づいてトラフィック フローが検証されます。 IP フロー検証は、仮想マシンとの間のイングレスまたはエグレス トラフィックがネットワーク セキュリティ グループ内の規則によってブロックされているかどうかを確認するのに役立ちます。 NSG ルールの評価と共に、Azure Virtual Network Manager のルールも評価されます。

Azure Virtual Network Manager (AVNM) は、サブスクリプション全体でグローバルにユーザーが仮想ネットワークをグループ化、構成、デプロイ、管理できるようにする管理サービスです。 AVNM のセキュリティ構成を使用すると、ユーザーは、グローバル レベルで 1 つ以上のネットワーク グループに適用できる規則のコレクションを定義できます。 これらのセキュリティ規則は、ネットワーク セキュリティ グループ (NSG) 規則よりも優先順位が高くなります。 ここで注意すべき重要な違いは、管理規則は、ガバナンス チームとセキュリティ チームによって制御される中央の場所にあり、AVNM によって各 VNet に提供されるリソースであるということです。 NSG は、VNet 所有者によって制御されるリソースであり、各サブネットまたは NIC のレベルで適用されます。

Network Watcher のインスタンスは、IP フロー検証を実行する予定のすべてのリージョンに作成する必要があります。 Network Watcher はリージョン別のサービスであり、同じリージョン内のリソースに対してのみ実行できます。 NIC またはサブネットに関連付けられたルートは返されるため、使用されるインスタンスは IP フロー検証の結果には影響しません。

NSG 診断

NSG (ネットワーク セキュリティ グループ) 診断は Azure Network Watcher のツールであり、Azure 仮想ネットワークにおいて許可または拒否されるネットワーク トラフィックと、デバッグのための詳細情報を理解するのに役立ちます。 NSG 診断は、ネットワーク セキュリティ グループの規則が正しく設定されていることを確認するのに役立ちます。 NSG 診断は、IP フロー検証と一部の機能を共有しています。

NSG 診断ツールでは、指定したソースと宛先に基づいて特定のフローをシミュレートできます。 フローを許可または拒否するセキュリティ規則に関する詳細情報と共に、フローが許可または拒否されるかどうかを返します。

NSG に対して診断を実行するには、次の手順のようにします。

  1. ポータルの上部にある検索ボックスで、Network Watcher を検索して選択します。
  2. [ネットワーク診断ツール] で、[NSG Diagnostics](NSG 診断) を選択します。
  3. [NSG diagnostics] (NSG 診断) ページで、次の値を入力または選択します。
    • ターゲット リソース
      • ターゲット リソースの種類。 接続を診断するリソースを選びます。
      • 仮想マシン。 診断を実行する VM を選びます。
    • トラフィックの詳細
      • プロトコル。 TCP、UDP、ICMP の 1 つまたは複数を選びます。
      • 方向: 受信または送信を選びます。
      • ソースの種類です。 IPv4 アドレス/CIDR またはサービス タグを選びます。
      • Ipv4 アドレス/CIDR。 使用できる値は、単一 IP アドレス、複数 IP アドレス、単一 IP プレフィックス、複数 IP プレフィックスです。
      • 送信先 IP アドレス。 使用できる値は、1 つの IP アドレス、複数の IP アドレス、1 つの IP プレフィックス、複数の IP プレフィックスです。
      • 送信先ポート。 すべてのポートを含めるには、「*」と入力します。
  4. [NSG 診断の実行] を選択してテストを実行します。 NSG 診断によるすべてのセキュリティ規則のチェックが完了すると、結果が表示されます。 この結果では、NSG に含まれる規則と、トラフィックを拒否している規則が示されます。