ラボ: Azure ネットワーク セキュリティ グループ (NSG) について調べる

このラボは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft セキュリティ ソリューションの機能について説明する
  • モジュール: Azure の基本的なセキュリティ機能を説明する
  • ユニット: Azure ネットワーク セキュリティ グループについて説明する

ラボのシナリオ

このラボでは、Azure のネットワーク セキュリティ グループの機能について説明します。 これを行うには、ネットワーク セキュリティ グループ (NSG) を作成し、既存の仮想マシン (VM) のインターフェイスに NSG を割り当てます。 構成したら、既定のインバウンドおよびアウトバウンド規則を確認し、新しい規則を作成して、それらの規則をテストします。 このラボでは、NSG で使用する VM が自動的に作成されるため、まず、その VM に関連付けられている情報の一部を表示します。

予測される所要時間: 45 分

タスク 1

このタスクでは、このラボで使用するために作成された VM に関連付けられているパラメーターの一部を表示します。

  1. Microsoft Edge を開きます。 アドレス バーに「https://portal.azure.com」と入力します。

  2. 管理者の資格情報でサインインします。
    1. [サインイン] ウィンドウで、ラボ ホスティング プロバイダーから提供されたユーザー名を入力して、[次へ] を選択します。
    2. ラボ ホスティング プロバイダーから提供されている管理者パスワードを入力します。 [サインイン] を選択します。
    3. 以前にログインしたことがある場合は、MFA の一部として、セカンダリ認証を完了するように求められる場合があります。 以前にログインしたことがない場合は、MFA 登録プロセスを完了するように求められる場合があります。画面の指示に従って MFA をセットアップします。
    4. サインインしたままにするかどうかを尋ねられたら、[はい] を選択します。

  3. ページの上部、Azure Services と表示されている場所の下で、[Virtual Machines] を選択します。 リストに表示されない場合は、検索ボックスのページ上部にある [Microsoft Azure] と表示されている場所の隣の青色バーに、「Virtual Machines」と入力し、検索結果で [Virtual Machines] を選択します。

  4. [Virtual Machines] ページで、[SC900-WinVM] と表示されている VM を選択します。

  5. SC900-WinVM ページに移動します。 VM に関するいくつかの基本情報に@注意してください。

  6. 左側のナビゲーション パネルで [ネットワーク] を展開し、[ネットワーク設定] を選択します。 メイン ウィンドウの要点セクションには、VM のネットワーク インターフェイスが表示されます。 インターフェイスに NSG が割り当てられていないため、[ネットワーク セキュリティ グループ] の横に何も表示されていないことに注目してください。

  7. このタブは開いたままにしておきます。

タスク 2

このタスクでは、ネットワーク セキュリティ グループを作成し、その NSG に VM のネットワーク インターフェイスを割り当て、RDP トラフィック用の新しいインバウンド規則を作成します。

  1. 開いた [Azure] タブで、ページの上部にある [ホーム] リンクを “右クリック” し、[新しいタブでリンクを開く] を選んで Azure サービスへの別のページを開きます。**

  2. ページの上部にある青い検索バーに、「ネットワーク セキュリティ グループ」と入力し、その結果から [ネットワーク セキュリティ グループ] を選択します。 [ネットワーク セキュリティ グループ (クラシック)] を選択しないでください。

  3. ページの中央にある [ネットワーク セキュリティ グループの作成] というラベルが付いた青いボタンを選びます。 または、[ネットワーク セキュリティ グループ] ページの上部から [+ 作成] を選ぶこともできます。

  4. [ネットワーク セキュリティ グループの作成] ページの [基本] タブで、次の設定を指定します。
    1. サブスクリプション: 既定値のままにします (これは、承認されたラボ ホストによって提供される Azure サブスクリプションです)
    2. リソース グループ: LabsSC900
    3. 名前: NSG-SC900
    4. リージョン: 既定値のままにします。
    5. [確認および作成] を選択し、[作成] を選択します。

  5. デプロイが完了したら、[リソースに移動] を選択します。

  6. 新しく作成された NSG の概要ページが表示されるはずです。 そうでない場合は、左側のナビゲーション パネルから [概要] を選びます。 [要点] と表示されているページの上部に、作成した NSG に関する基本情報がいくつか表示されます。 注意すべき 2 つの点は、カスタム セキュリティ規則がなく、この NSG に関連付けられているサブネットもネットワーク インターフェイスもない点です。 カスタム セキュリティ規則はありませんが、ページに示されているように、各 NSG に含まれる既定のインバウンドおよびアウトバウンド規則があります。 インバウンドおよびアウトバウンド規則を両方とも確認します。 既定のインバウンド規則は、仮想ネットワークまたは Azure ロード バランサーからの受信トラフィックをすべて拒否します。 アウトバウンド規則では、仮想ネットワーク間のトラフィックとインターネットへの送信トラフィックを除くすべての送信トラフィックが拒否されます。

  7. NSG-SC900 ページの左側のナビゲーション ウィンドウで [設定] を展開し、[ネットワーク インターフェイス] を選択します。
    1. [関連付け] を選択します。
    2. ネットワーク インターフェイスの関連付けのフィールドで、下向き矢印を選択し、[sc900-winvmXXX] を選び、ウィンドウの下部にある [OK] を選択します。 インターフェイスが NSG に関連付けられると、一覧に表示されます。 これで、NSG が VM のネットワーク インターフェイスに割り当てられました。

  8. ブラウザーの [SC900-WinVM - Microsoft Azure] タブに戻ります。 ページを最新の情報に更新します。 [ネットワーク セキュリティ グループ] と表示されている場所の横に、先ほど作成した NSG の名前が表示されるはずです。 それでも表示されない場合は、もう 1 分間待ってから、ページをもう一度更新します。

  9. 左ナビゲーション パネルで [接続] を選びます。 メイン ウィンドウで、ポート番号 3389 が表示されている場所の横にある [アクセスの確認] を選びます。 アクセスの確認機能により、VM の既定の RDP ポート 3389 にシグナル (トラフィック) が送信され、アクセス可能かどうかが確認されます。 1 分ほどかかる場合がありますが、”アクセスできません” と表示されます。 DenyAllInBound NSG 規則により、VM へのすべての受信トラフィックは拒否されるため、これは想定内のことです。

  10. ブラウザーの [NSG-SC900 - Microsoft Azure] タブに戻ります。

  11. 左側のナビゲーション ウィンドウで、[受信セキュリティ規則] を選択します。 既定のインバウンド規則では、仮想ネットワークまたは Azure ロード バランサー以外のすべての受信トラフィックが拒否されるため、受信 RDP トラフィック (ポート 3389 上のトラフィック) を許可する規則を設定する必要があります。 既定の規則は削除できませんが、より優先度の高い規則を新しく作成してオーバーライドできることを思い出してください。

  12. ページの最上部から [追加] を選びます。 [受信セキュリティ規則の追加] ウィンドウで、次の情報を指定します。
    1. ソース: 任意
    2. ソース ポート範囲: *
    3. 宛先: 任意
    4. サービス: RDP
    5. アクション: 許可
    6. 優先度: 1000。 小さい数字の規則は高い優先順位を持ち、最初に処理されます。
    7. 名前: 既定の名前のままにするか、独自のわかりやすい名前を作成します。
    8. ページの下部にある警告記号に注意してください。 RDP は、テスト目的でのみ、NSG の機能を示すために使用しています。
    9. [追加] を選択します。

  13. ルールがプロビジョニングされると、受信ルールの一覧に表示されます (画面を更新する必要がある場合があります)。

  14. このブラウザー タブは開いたままにしておきます。

タスク 3

このタスクでは、新しく作成されたインバウンド NSG 規則をテストして、VM へのリモート デスクトップ (RDP) 接続を確立できることを確認します。 VM に接続したら、VM からインターネットへの送信接続を確認します。

  1. ブラウザーで、[SC900-WinVM – Microsoft Azure] タブを開きます。

  2. 左ナビゲーション パネルで、[接続] を選択します。

  3. [アクセスの確認] を選択します (ポートが 3389 に設定されていることを確認します)。 状態は “アクセス可能” と表示されるはずです。 “アクセス不可” と表示されている場合は、ページを更新してやり直してください。新しい受信規則がアクセスの確認オプションで表示されるまでに数分かかる場合があります。

  4. 次に、ネイティブ RDP というボックスの [選択] をクリックして、VM に直接接続します。

    1. 開いた [ネイティブ RDP] ウィンドウで、[RDP ファイルのダウンロード] を選択します。
    2. ダウンロードの警告が表示されたら、[保持] を選択し、表示されるポップアップ ウィンドウで [ファイルを開く] を選びます。
    3. [リモート デスクトップ接続] ウィンドウが開いたら、[接続] を選択します。
    4. 資格情報の入力を求められます。 VM の [ユーザー名] と [パスワード] を入力します (ラボの指示パネルの [リソース] タブを参照してください)。
    5. [リモート デスクトップ接続] ウィンドウが開き、’‘このリモート コンピューターの ID を識別できません。接続しますか?’’ と示されます。 [はい] を選択します。

  5. これで、VM に接続されました。 この場合、作成した受信トラフィック ルールにより RDP 経由で VM への受信トラフィックが許可されているため、VM に接続できました。 [ようこそ] 画面で、数秒後に、デバイスのプライバシー設定を選択するウィンドウが表示されたら、[同意する] を選択します。 [ネットワーク] ウィンドウが表示されたら、[いいえ] を選択します。

  6. RDP セッションの VM が稼働している状態で、VM からインターネットへの送信接続をテストします。
    1. 開いた VM で、[Microsoft Edge] を選択して、ブラウザーを開きます。 VM とブラウザーを初めて開くので、いくつかの基本設定を求められる場合があります。
    2. デバイスのプライバシー設定を選択するように求められる場合があります。 既定のままにして、[承認] を選択します。
    3. ネットワークのサイド パネルが表示される場合があります。 このため、 [いいえ] を選択します。
    4. “Windows で最もパフォーマンスの高いブラウザーで Web を閲覧する” というウィンドウが表示されることがあります。[続行][データなしで開始][確認して続行][このデータなしで続行] の順に選択し、最後に [確認して閲覧を開始] を選択します。
    5. ブラウザーのアドレス バーに「www.bing.com」と入力して、検索エンジンに接続できることを確認します。
    6. www.bing.com にアクセスできることを確認したら、VM のブラウザー ウィンドウは閉じ、VM は起動したままにします。

  7. VM の IP アドレスを示す青いタブでアンダースコア _ を選択して、VM を最小化します。 これにより、[SC900-WinVM] | [接続] ページに戻ります。

  8. 次のタスクで使用するため、このブラウザー タブは開いたままにしておきます。

タスク 4

前のタスクでは、VM への RDP 接続を確立できることを確認しました。 VM に接続してから、インターネットへの送信接続を確立できることも確認しました。 NSG の既定のアウトバウンド規則では送信インターネット トラフィックが許可されているため、送信インターネット トラフィックが許可されました。 このタスクでは、インターネット トラフィックの送信をブロックするカスタム アウトバウンド規則を作成し、その規則をテストするプロセスを説明しました。

  1. [SC900-WinVM] | [接続] ページが表示されているはずです。 左ナビゲーション ウィンドウで、[ネットワーク] を選択します。 以前にブラウザー タブを閉じた場合は、ページの上部にある青い検索バーを選択し、[Virtual Machines] を選択してから、VM [SC900-WinVM] を選択し、次に [ネットワーク] を選択します。

  2. [送信ポートの規則] タブを選択します。既定のアウトバウンド規則が表示されます。 既定の規則 “AllowInternetOutBound” に注意してください。 この規則では、すべての送信インターネット トラフィックが許可されます。 既定の規則は削除できませんが、優先順位の高い規則を作成することでオーバーライドできます。 ページの右側で、[送信ポートの規則を追加する] を選択します。

  3. [送信セキュリティ規則の追加] ページで、次の情報を入力します。
    1. ソース: 任意
    2. ソース ポート範囲: *
    3. 宛先: サービス タグ
    4. 宛先サービス タグ: インターネット
    5. サービス: カスタム (既定値のままにします)
    6. 宛先ポート範囲: * (宛先ポート範囲フィールドに必ずアスタリスクを入力してください)
    7. プロトコル: 任意
    8. アクション:拒否
    9. 優先度: 1000
    10. 名前: 既定の名前のままにするか、独自のわかりやすい名前を作成します。
    11. [追加] を選択します。

  4. ルールがプロビジョニングされると、送信規則の一覧に表示されます。 一覧に表示されますが、有効になるまで数分かかります (数分待ってから次の手順に進みます)。

  5. VM に戻ります (ページの下部にあるタスク バーに VM の RDP アイコンが表示されるはずです)。

  6. VM で Microsoft Edge ブラウザーを開き、「www.bing.com」と入力します。 このページは表示されません。 インターネットに接続でき、アウトバウンド規則のすべてのパラメーターが適切に設定されていたことを確認した場合、これは規則が有効になるまで数分かかることによる可能性があります。 ブラウザーを閉じ、数分待ってからやり直してください。 ラボ環境の Azure サブスクリプションでは、通常よりも長い遅延が発生する場合があります。

  7. IP アドレスが表示されるページの上中央の [X] を選択して、リモート デスクトップ接続を閉じます。 ポップアップ ウィンドウにリモート セッションが閉じることが示されます。 [OK] を選択します。

  8. ウィンドウの左上隅の Microsoft Azure という青いバーのすぐ下にある [ホーム] を選択して、Azure サービスのホーム ページに戻ります。

  9. ブラウザーで Azure タブを開いたままにします。

確認

このラボでは、ネットワーク セキュリティ グループ (NSG) を設定し、その NSG を仮想マシンのネットワーク インターフェイスに関連付け、受信 RDP トラフィックを許可して送信インターネット トラフィックをブロックする新しい規則を NSG に追加するプロセスについて説明しました。