デモ: Azure ネットワーク セキュリティ グループ (NSG)

このデモは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft セキュリティ ソリューションの機能について説明する
  • モジュール: Azure の基本的なセキュリティ機能を説明する
  • ユニット: Azure ネットワーク セキュリティ グループについて説明する

デモのシナリオ

このデモでは、Azure のネットワーク セキュリティ グループの機能を調べ、事前に作成された仮想マシンに NSG を適用します。 まず、承認されたラボ ホスト (ALH) によって事前に作成された VM に関する情報を簡単に示します。 次に、デモ前のセットアップの一部として設定された NSG を使用して、NSG の重要なパラメーターと、既定のインバウンドおよびアウトバウンド規則を示します。 VM インターフェイスを NSG に割り当て、VM への接続を許可する新しい RDP 規則を作成し、最後にテストします。

デモ パート 1

このパートでは、セットアップ デモ (DEMO_00_pre_demo_setup.md) の一部として作成された VM に関連付けられているパラメーターの一部を表示します。

  1. Microsoft Edge を開きます。 アドレス バーに「https://portal.azure.com」と入力し、認可されたラボ ホスター (ALH) から提供された Azure 資格情報を使ってサインインします。 これで、Azure サービスのホーム ページが表示されます。

  2. ページの上部にある青い検索ボックスに「Virtual Machines」と入力し、検索結果から [Virtual Machines] を選びます。

  3. [Virtual Machines] ページで、[SC900-WinVM] と表示されている VM を選択します。 この VM は、デモ前のセットアップの一部として作成されている必要があります。 一覧にない場合は、ここで作成してください。

  4. SC900-WinVM ページに移動します。 VM に関するいくつかの基本情報に@注意してください。

  5. 左ナビゲーション ウィンドウで、[ネットワーク] を選択します。
    1. 既定のビューは、受信ポート規則用です。 この VM のネットワーク インターフェイスには、ネットワーク セキュリティ グループが構成されていないことに注意してください。 送信ポート規則を選択した場合も同様です。
    2. [ネットワーク インターフェイス] と表示されている場所の横にある [有効なセキュリティ規則] を選択します。 “ネットワーク セキュリティ グループまたはアプリケーション セキュリティ グループがネットワーク インターフェイスに関連付けられていません” と表示されることを確認してください。

  6. 発表者である場合、接続ページでポートの状態を確認しようとすると、”確認できません” というメッセージが表示されます。 これは、必ずしもポートが公開されていないことを意味するわけではありません。 NSG が割り当てられた同じアクションを実行すると、そのポート上のトラフィックがブロックされていることを示す “アクセス不可” が表示されます。

  7. このブラウザー タブは開いたままにしておきます。

デモ パート 2

このパートでは、NSG にインターフェイスを割り当てます。既定のインバウンドおよびアウトバウンド規則について、規則のしくみを示しながら説明します。 デモ前のセットアップの一部として、VM がその NSG に VM のネットワーク インターフェイスを割り当て、RDP トラフィック用の新しいインバウンド規則を作成する必要があります。

  1. Azure portal (portal.azure.com) の新しいブラウザー タブを開き、ページ上部の青い検索バーに「ネットワーク セキュリティ グループ」のグループを入力します。 結果から [ネットワーク セキュリティ グループ] を選択します ([ネットワーク セキュリティ グループ クラシック] は選択しないでください)。

  2. デモ前のセットアップの一部として作成された NSG を選択します。 以前に作成していない場合は、ここで作成してください。 [ネットワーク セキュリティ グループの作成] を選択し、次の設定を指定します。
    1. サブスクリプション: 既定値のままにします (これは、承認されたラボ ホストによって提供される Azure サブスクリプションです)
    2. リソース グループ: LabsSC900 (VM で使用されるのと同じリソース グループ)。
    3. 名前: NSG-SC900
    4. リージョン: 既定値のままにします。
    5. [確認および作成] を選択し、[作成] を選択します。
    6. デプロイが完了したら (すぐに完了します)、 [リソースに移動] を選びます。

  3. [要点] と表示されているページの上部に、作成した NSG に関する基本情報がいくつか表示されます。 注意すべき 2 つの点は、カスタム セキュリティ規則がなく、この NSG に関連付けられているサブネットもネットワーク インターフェイスもない点です。 カスタム セキュリティ規則はありませんが、ページに示されているように、各 NSG に含まれる既定のインバウンドおよびアウトバウンド規則があります。 インバウンドおよびアウトバウンド規則を両方とも確認します。 既定のインバウンド規則は、仮想ネットワークまたは Azure ロード バランサーからの受信トラフィックをすべて拒否します。 アウトバウンド規則では、仮想ネットワーク間のトラフィックとインターネットへの送信トラフィックを除くすべての送信トラフィックが拒否されます。

  4. NSG-SC900 のページの左ナビゲーション ウィンドウの [設定] で、[ネットワーク インターフェイス] を選択します。
    1. [関連付け] を選択します。
    2. ネットワーク インターフェイスの関連付けを選択するフィールドで、下向き矢印を選択し、[sc900-winvmXXX] を選択し、ウィンドウの下部にある [OK] を選択します。 インターフェイスが NSG に関連付けられると、一覧に表示されます。
  5. VM のブラウザー タブを選択して、VM に戻ります。 VM インターフェイスに NSG がアタッチされたことがわかるはずです。 受信ポート規則テーブルが表示されます。 既定のインバウンド規則は、仮想ネットワークまたは Azure ロード バランサーからの受信トラフィックをすべて拒否します。 これをテストするには、RDP ポート 3389 の状態をチェックします。
    1. ページの上部にある [接続] を選択し、ポート 3389 (RDP) に対して [アクセスの確認] を選択すると、”アクセス不可” と表示されます。
    2. テストしているのは RDP ポート 3389 に対してのみですが、もう一方の仮想ネットワークまたはロード バランサー以外の受信ネットワーク トラフィックはすべてブロックされます。
  6. 次に、RDP ポートで受信トラフィックを許可する規則を作成します。 左ナビゲーション ウィンドウで、[ネットワーク] を選択します。 受信ポート規則のテーブルが表示されます ([受信ポート規則] タブに下線が引かれています)。 ページの右側で、[受信ポート規則の追加] を選択します。 既定の規則は削除できませんが、より優先度の高い規則を新しく作成してオーバーライドできることを思い出してください。 [受信セキュリティ規則の追加] ウィンドウで、次の情報を指定します。
    1. ソース: 任意
    2. ソース ポート範囲: *
    3. 宛先: 任意
    4. サービス: RDP
    5. アクション: 許可
    6. 優先順位: 1000。注: 小さい数字の規則は高い優先順位を持ち、最初に処理されます。
    7. 名前: 既定の名前のままにするか、独自のわかりやすい名前を作成します。
    8. ページの下部にある警告記号に注意してください。 RDP は、テスト目的、および NSG の機能を示すために使用しています。
    9. [追加] を選択します。
  7. ルールがプロビジョニングされると、受信ルールの一覧に表示されます (画面を更新する必要がある場合があります)。

デモ パート 3

VM に NSG を関連付け、RDP 規則を作成すると、VM への RDP 接続をテストすることで、NSG の影響が表示されます。

  1. ブラウザーで、[SC900-WinVM – Microsoft Azure] タブを開きます。

  2. 左ナビゲーション パネルで、[接続] を選択します。
    1. [アクセスの確認] を選択するだけです。 状態は “アクセス可能” と表示されるはずです。 または、時間がある場合は、Windows でリモート デスクトップ接続のインスタンスを開いて VM に接続できます。 このオプションにより、正常に接続するとすぐに VM が開きます。 次にステップを示します。
      1. Windows 検索バーに「リモート デスクトップ接続」と入力し、[開く] を選択します。
      2. [コンピューター] の横にあるフィールドに、VM のパブリック IP アドレスを入力します。
      3. IP アドレスを入力すると、IP アドレスを入力したフィールドの下にユーザー名が表示されます。 そうでない場合は、[オプションの表示] を展開し、VM のユーザー名を入力してから、[接続] を選択します。
      4. リモート デスクトップ接続ウィンドウが開き、リモート コンピューターの ID を確認できないことを示します。 いずれにしても接続しますか?” というメッセージと共に開きます。 [はい] を選択します。
      5. これで、VM に接続されました。 作成した受信トラフィック規則が RDP を介した VM への受信トラフィックを許可しているため、この場合、VM に接続できたことを学習者に強調します。
      6. VM の IP アドレスを示す青いタブでアンダースコア _ を選択して、VM を最小化します。 これにより、SC900-WinVM の [接続] ページに戻ります。

  3. 左ナビゲーション パネルで [ネットワーク] を選択し、メイン ウィンドウで [送信ポート規則] を選択します。 既定のアウトバウンド規則を読み上げます。 既定の規則では、任意の仮想ネットワークから他の仮想ネットワークへの送信 VNet トラフィックが許可され、送信インターネット トラフィックが許可されます。 その他の種類の送信トラフィックは拒否されます。 既定の規則を削除することはできませんが、インバウンド規則を作成したのと同じ方法で、優先度の高い規則を作成してオーバーライドできます。

  4. 時間に余裕があり、送信トラフィックの同様のステップを表示したい場合は、以下に示すオプションのデモ パートを参照してください。 それ以外の場合は VM を終了しますが、[Azure] タブは次のデモのためにブラウザーで開いたままにしてください。

オプションのデモ パート 4

このパートでは、VM からの送信インターネット トラフィックを許可する現在の NSG アウトバウンド規則を示します。 次に、VM からの送信インターネット トラフィックをブロックする規則を作成します。最後に、VM からインターネットへのアクセスを試行して、新しく作成された規則の影響を示します。

  1. 前のステップで最小化した VM を開きます。 ここで、インターネットへの送信インターネット接続を表示します。これは、既定のアウトバウンド規則のいずれかによって有効になっています。 VM が開き、ユーザーとしてログインしたら、[Microsoft Edge] を選択してブラウザーを開きます。 Microsoft Edge を開くのは初めてなので、ポップアップ ウィンドウが表示される場合があります。[データなしで開始] を選択してから、[このデータなしで続行] を選択し、[確認して参照を開始] を選択します。
    1. ブラウザーのアドレス バーに「www.bing.com」と入力して、検索エンジンに接続できることを確認します。
    2. www.bing.com にアクセスできることを確認したら、VM のブラウザー ウィンドウは閉じ、VM は起動したままにします。

  2. VM の IP アドレスを示す青いタブでアンダースコア _ を選択して、VM を最小化します。 これにより、SC900-WinVM の [接続] ページに戻ります。

  3. 左ナビゲーション ウィンドウで、[ネットワーク] を選択します。

  4. [送信ポートの規則] タブを選択します。既定のアウトバウンド規則が表示されます。 既定の規則 “AllowInternetOutBound” に注意してください。 この規則では、すべての送信インターネット トラフィックが許可されます。 既定の規則は削除できませんが、優先順位の高い規則を作成することでオーバーライドできます。 ページの右側で、[送信ポートの規則を追加する] を選択します。

  5. [送信セキュリティ規則の追加] ページで、次の情報を入力します。
    1. ソース: 任意
    2. ソース ポート範囲: *
    3. 宛先: サービス タグ
    4. 宛先サービス タグ: インターネット
    5. サービス: カスタム (既定値のままにします)
    6. 宛先ポート範囲: * (宛先ポート範囲フィールドに必ずアスタリスクを入力してください)
    7. プロトコル: 任意
    8. アクション:拒否
    9. 優先度: 1000
    10. 名前: 既定の名前のままにするか、独自のわかりやすい名前を作成します。
    11. [追加] を選択します。

  6. ルールがプロビジョニングされると、送信規則の一覧に表示されます。 一覧に表示されますが、有効になるまで数分かかります (数分待ってから次の手順に進みます)。

  7. VM に戻ります (ページの下部にあるタスク バーに VM のアイコンが表示されます)。

  8. VM で Microsoft Edge ブラウザーを開き、「www.bing.com」と入力します。 このページは表示されません。 注: インターネットに接続でき、アウトバウンド規則のすべてのパラメーターが適切に設定されていたことを確認した場合、これは規則が有効になるまで数分かかることによる可能性があります。 ブラウザーを閉じ、数分待ってからやり直してください。 注: ラボ環境の Azure サブスクリプションでは、通常よりも長い遅延が発生する場合があります。

  9. IP アドレスが表示されるページの上中央の [X] を選択して、リモート デスクトップ接続を閉じます。 ポップアップ ウィンドウにリモート セッションが閉じることが示されます。 [OK] を選択します。

  10. [Azure] タブは、次の Azure デモのためにブラウザーで開いたままにしてください。

確認

このデモでは、インターフェイスを NSG に関連付けるプロセスなど、NSG に関連付けられた情報と設定について説明し、既定のインバウンドおよびアウトバウンド規則について説明し、最後に新しい規則を作成するステップについて説明しました。