Azure portal を使用してネットワーク セキュリティ グループをデプロイする
- 7 分
Azure の ネットワーク セキュリティ グループ (NSG) を使用すると、Azure 仮想ネットワーク内の Azure リソースとの間のネットワーク トラフィックをフィルター処理できます。
ネットワーク セキュリティ グループの特性
ネットワーク セキュリティ グループの特性を見てみましょう。
ネットワーク セキュリティ グループには、受信または送信ネットワーク トラフィックを許可または拒否するセキュリティ規則のリストが含まれています。
ネットワーク セキュリティ グループは、サブネットまたはネットワーク インターフェイスに関連付けることができます。
ネットワーク セキュリティ グループは、何回でも関連付けることができます。
Azure portal でネットワーク セキュリティ グループを作成し、セキュリティ規則を定義します。
NSG のセキュリティ規則
ネットワーク セキュリティ グループには、Azure リソースへの受信または送信のネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。 各規則で、送信元と送信先、ポート、およびプロトコルを指定することができます。 ネットワーク セキュリティ グループには、0 個、または Azure サブスクリプションの制限内の任意の数の規則が含まれています。 各規則には次のようなプロパティがあります。
Azure では、ネットワーク セキュリティ グループの 既定の受信 セキュリティ規則が定義されています。 これらの規則では、仮想ネットワークと Azure ロード バランサーからのトラフィックを除くすべての受信トラフィックが拒否されます。
Azure では、ネットワーク セキュリティ グループの既定の 送信 セキュリティ規則が定義されています。 これらの規則では、インターネットと仮想ネットワークへの送信トラフィックのみが許可されます。
各ネットワーク セキュリティ グループと、その定義されたセキュリティ規則は個別に評価されます。 Azure は、構成内の各仮想マシンに対して定義されている各規則の条件を処理します。 - 有効なセキュリティ規則ビューは、Azure Network Watcher の機能であり、ネットワーク インターフェイスに適用された集約された受信規則と送信規則を表示するために使用できます。 ネットワーク インターフェイスに適用されるセキュリティ規則と管理規則を可視化します。
インバウンド トラフィックの場合、Azure はまず、関連付けられているサブネットの、その次に関連付けられているネットワーク インターフェイスの、ネットワーク セキュリティ グループのセキュリティ規則を処理します。
アウトバウンド トラフィックでは、プロセスが逆になります。 Azure はまず、関連付けられているネットワーク インターフェイスの、その次に関連付けられているサブネットの、ネットワーク セキュリティ グループのセキュリティ規則を評価します。
ヒント
ネットワーク セキュリティ グループの詳細については、「ネットワーク セキュリティ グループの 構成」 モジュールを参照してください。