ネットワーク セキュリティ グループ規則を作成する
Azure portal で受信および送信トラフィックを制御するセキュリティ規則は簡単に追加できます。 仮想ネットワーク セキュリティ グループ規則の設定を構成し、HTTPS、RDP、FTP、DNS など、さまざまな通信サービスから選択できます。
セキュリティ規則の構成について知っておくべき事項
セキュリティ規則を作成するために指定する必要があるプロパティをいくつか見てみましょう。 これらの設定を確認するとき、作成する必要があるトラフィック ルールと、ネットワーク要件を満たすことができるサービスについて考えてください。
ソース: セキュリティ規則が 受信 トラフィックを制御する方法を識別します。 この値は、許可または拒否する特定のソース IP アドレス範囲を指定します。 送信元フィルターには、あらゆるリソース、IP アドレス範囲、アプリケーション セキュリティ グループ、既定のタグを指定できます。
宛先: セキュリティ規則が 送信 トラフィックを制御する方法を識別します。 この値は、許可または拒否する特定の宛先 IP アドレス範囲を指定します。 送信先フィルター値は送信元フィルターに類似しています。 この値には、あらゆるリソース、IP アドレス範囲、アプリケーション セキュリティ グループ、既定のタグを指定できます。
サービス: セキュリティ規則の宛先プロトコルとポート範囲を指定します。 RDP または SSH などの事前定義されたサービスを選択することも、カスタムのポート範囲を指定することもできます。 選択できるサービスはたくさんあります。
優先順位: セキュリティ規則の優先順位の値を割り当てます。 規則は、サブネットやネットワーク インターフェイスなど、ネットワーク セキュリティ グループの全規則の優先順位に基づいて処理されます。 優先順位の値が小さければ小さいほど、規則の優先度がそれだけ高くなります。
拡張セキュリティ規則を使用する場合
1 つのネットワーク セキュリティ グループ規則には、[ソース]、[宛先]、[サービス] フィールドに複数の値を含めることができます。 この方法は拡張セキュリティ規則と呼ばれ、必要なルールの合計数を減らし、NSG 管理を簡素化します。
セキュリティ規則の強化について知っておくべきこと
複数の IP アドレス: 複数の IP アドレスを 1 つのルールに結合します。
複数のポート範囲: [サービス] フィールドで複数のポートと範囲を指定します。
サービス タグと ASG: サービス タグ、アプリケーション セキュリティ グループ、および IP アドレスを同じ規則内に混在させます。
ルール数の削減: IP 範囲またはポートごとに個別のルールを作成する代わりに、それらを結合して、管理しやすいルールを減らします。
多くの IP 範囲またはサービスを持つエンタープライズ環境では、拡張ルールによって NSG ルールが拡散しないようにします。 たとえば、ポート 80、443、8080、8090 に対して 4 つの個別の規則を作成する代わりに、すべてのポートを含む 1 つのルールを作成します。
ヒント
ネットワーク セキュリティ グループとサービス エンドポイントトレーニング モジュールを使用して、セキュリティで保護された Azure リソースへのアクセスを分離することで学習を拡張します。 このモジュールには、練習できるサンドボックスが含まれています。