演習 02: ネットワーク セキュリティ グループを作成して構成する

シナリオ

組織では、app-vnet 内のネットワーク トラフィックを厳密に制御する必要があります。 これらの要件を特定します。

  • フロントエンド サブネットには、インターネットからアクセスできる Web サーバーがあります。 これらのサーバーには、アプリケーション セキュリティ グループ (ASG) が必要です。 ASG は、グループの一部である任意の仮想マシン インターフェイスに関連付ける必要があります。 これにより、Web サーバーを簡単に管理できます。
  • ASG への受信 HTTPS トラフィックを許可するには、NSG ルールが必要です。 この規則では、ポート 443 で TCP プロトコルが使用されます。
  • バックエンド サブネットには、フロントエンド Web サーバーによって使用されるデータベース サーバーがあります。 このトラフィックを制御するには、ネットワーク セキュリティ グループ (NSG) が必要です。 NSG は、Web サーバーからアクセスされる任意の仮想マシン インターフェイスに関連付ける必要があります。
  • ASG からバックエンド サーバーへの受信ネットワーク トラフィックを許可するには、NSG ルールが必要です。 この規則では、MS SQL サービスとポート 1443 が使用されます。
  • テストでは、仮想マシンをフロントエンド サブネット (VM1) とバックエンド サブネット (VM2) にインストールする必要があります。 IT グループは、これらの Ubuntu サーバーをデプロイするための Azure Resource Manager テンプレートを提供しました。

スキル タスク

  • ネットワーク セキュリティ グループを作成します。
  • ネットワーク セキュリティ グループ規則を作成します。
  • ネットワーク セキュリティ グループをサブネットに関連付けます。
  • ネットワーク セキュリティ グループ規則でアプリケーション セキュリティ グループを作成して使用します。

アーキテクチャの図

仮想ネットワークに関連付けられた 1 つの ASG と NSG を示す図。

演習の手順

演習用にネットワーク インフラストラクチャを作成する

注: この演習では、ラボ 01 の仮想ネットワークとサブネットをインストールする必要があります。 これらのリソースをデプロイする必要がある場合は、テンプレートが提供されます。

  1. アイコン (右上) を使用して Cloud Shell セッションを起動してください。 または、https://shell.azure.com に直接移動してください。

  2. Bash または PowerShell の選択を求めるメッセージが表示されたら、 [PowerShell] を選択します。

  3. このタスクにストレージは必要ありません サブスクリプションを選択してください。

  4. この演習に必要な仮想マシンをデプロイします。

    $RGName = "RG1"
   
New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateUri https://raw.githubusercontent.com/MicrosoftLearning/Configure-secure-access-to-workloads-with-Azure-virtual-networking-services/main/Instructions/Labs/azuredeploy.json

  5. ポータルで、virtual machines を検索して選択します。 vm1 と vm2 の両方が実行中であることを確認します。

アプリケーション セキュリティ グループを作成する

アプリケーション セキュリティ グループ (ASG) を使用すると、同様の機能を持つサーバーをグループ化できます。 たとえば、アプリケーションをホストしているすべての Web サーバーなどです。

  1. ポータルで、Application security groups を検索して選択します。

  2. [+ 作成] を選択してアプリケーション セキュリティ グループを構成します。

    プロパティ
    サブスクリプション サブスクリプションを選択します
    リソース グループ RG1
    Name app-backend-asg
    リージョン 米国東部

  3. [確認と作成][作成] の順に選択します。

: 既存の仮想ネットワークと同じリージョンにアプリケーション セキュリティ グループを作成しています。

アプリケーション セキュリティ グループを VM のネットワーク インターフェイスに関連付ける

  1. Azure portal で、VM2 を検索して選択します。

  2. [ネットワーク] ブレードで、[アプリケーションのセキュリティ グループ] を選択し、[アプリケーションのセキュリティ グループを追加] を選択します。

  3. app-backend-asg を選択し、[追加] を選択します。

ネットワーク セキュリティ グループを作成して関連付けます。

ネットワーク セキュリティ グループ (NSG) は、仮想ネットワーク内のネットワーク トラフィックをセキュリティで保護するものです。

  1. ポータルで、Network security group を検索して選択します。

  2. [+ 作成] を選択してネットワーク セキュリティ グループを構成します。

    プロパティ
    サブスクリプション サブスクリプションを選択します
    リソース グループ RG1
    Name app-vnet-nsg
    リージョン 米国東部

  3. [確認と作成][作成] の順に選択します。

NSG を app-vnet バックエンド サブネットに関連付けます。

NSG は、サブネットや Azure Virtual Machines に接続された個々のネットワーク インターフェイスに関連付けることができます。

  1. [リソースに移動] を選択するか、app-vnet-nsg リソースに移動します。

  2. [設定] ブレードで [サブネット] を選択します。

  3. [+ 関連付け] を選びます

  4. [app-vnet (RG1)][バックエンド] サブネットの順に選択します。 [OK] を選択します。

ネットワーク セキュリティ グループ規則を作成する

NSG はセキュリティ規則を使用して、受信および送信ネットワーク トラフィックをフィルター処理します。

  1. ポータルの上部にある検索ボックスに、「ネットワーク セキュリティ グループ」と入力します。 検索結果から [ネットワーク セキュリティ グループ] を選択します。

  2. ネットワーク セキュリティ グループの一覧で、[myVM-nsg] を選択します。

  3. [設定] ブレードで、[受信セキュリティ規則] を選択します。

  4. [+ 追加] を選択し、受信セキュリティ規則を構成します。

    プロパティ
    source [任意]
    ソース ポート範囲 *
    宛先 アプリケーション セキュリティ グループ
    宛先アプリケーションのセキュリティ グループ app-backend-asg
    サービス SSH
    アクション 許可
    優先度 100
    名前 AllowSSH

オンライン トレーニングでさらに学習する

要点

以上でこの演習は完了です。 重要なポイントを以下に示します。

  • アプリケーション セキュリティ グループを使用すると、仮想マシンを整理し、組織のアプリケーションに基づいてネットワーク セキュリティ ポリシーを定義できます。
  • Azure ネットワーク セキュリティ グループを使用して、Azure 仮想ネットワーク内の Azure リソース間のネットワーク トラフィックをフィルター処理します。
  • 仮想マシンの各仮想ネットワーク サブネットおよびネットワーク インターフェイスに、ゼロ個または 1 個のネットワーク セキュリティ グループを関連付けることができます。
  • ネットワーク セキュリティ グループには、Azure リソースとの受信ネットワーク トラフィックまたは送信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。
  • 仮想マシンをアプリケーション セキュリティ グループに参加させます。 次に、アプリケーション セキュリティ グループをネットワーク セキュリティ グループ規則のソースまたはターゲットとして使用します。