Network Security Group(NSG)
Network Security Group(NSG)は、
Azure の仮想ネットワーク内で通信を許可・拒否するための基本的なセキュリティ機能 です。
オンプレミスでいう「ファイアウォール」に相当し、
VM やサブネットのアクセス制御を行うための最重要コンポーネントです。
NSG の役割
● 1. サブネットやNICの通信を制御
NSG は次の単位に適用できます。
- サブネット
- ネットワークインターフェース(NIC)
NSG を適用した場所を通過する通信は、
設定したルールに基づき許可または拒否 されます。
● 2. インバウンド / アウトバウンドの制御
通信方向ごとにルールを管理します。
- インバウンド:外部 → 内部
- アウトバウンド:内部 → 外部
例:
- 80 / 443 を許可して Web 公開
- RDP(3389)を特定IPのみ許可
- 不要な送信を禁止
NSG の構成要素(ルール)
● 優先度
数値が小さいほど優先度が高い(100 〜 4096)。
● 方向(Direction)
- Inbound
- Outbound
● アクション(Action)
- Allow
- Deny
● プロトコル
- TCP
- UDP
- Any
● ポート番号
例:80、443、3389、22 など。
● 送信元 / 宛先
- IP アドレス
- CIDR
- Service Tag(後述)
Service Tags(サービスタグ)
特定の Azure サービスへのアクセスを簡単に制御できるタグ。
例:
- Internet
- VirtualNetwork
- AzureLoadBalancer
- Storage
- Sql
個別IPを指定せずに、サービス全体へ許可/拒否が可能。
NSG の適用場所と動作
✔ パターン1:サブネットに適用
サブネット配下のすべてのリソースに同じ NSG ポリシーが適用されます。
✔ パターン2:NICに適用
VM ごとに異なるポリシーを適用できます。
※ 両方に適用されている場合 → 最も厳しいルール が適用される。
NSG と Azure Firewall の違い
| 機能 | NSG | Azure Firewall |
|---|---|---|
| 主な用途 | 基本的なL3/L4通信制御 | L7レベルの高度なセキュリティ |
| 制御内容 | IP / ポート | URL / FQDN / アプリ制御 |
| ログ / 分析 | 最低限 | 高度なログ分析 |
| 用途 | VM・Subnet の保護 | 企業ネットワーク全体の統制 |
AZ-900 では「NSG=基本の通信制御」と覚えれば十分です。
よく使われる NSG ルール例
● Web サーバー公開
| 順位 | 許可/拒否 | ポート |
|---|---|---|
| 100 | Allow | 80 / 443 |
| 200 | Allow | 22 または 3389(管理用) |
| 4000 | Deny All | すべて拒否 |
● 管理アクセスを絞る
- RDP(3389)を社内IPのみ許可
- SSH(22)を特定IPのみに限定
NSG のメリット
- Azure の標準セキュリティ機能
- VM・サブネットを簡易的に保護
- コスト無料(追加料金なし)
- ポリシーの適用が高速
- Service Tags で運用が楽になる
AZ-900で理解すべきポイント
- NSG は Azure の基本ファイアウォール
- サブネット / NIC に適用可能
- ルールは優先度順で評価される
- Allow / Deny、Inbound / Outbound の2方向
- Service Tags を使うと便利
- Azure Firewallとは目的が異なる