1.はじめに
Azure 内から Microsoft / Azure 基盤サービスへの通信許可を行う条件が調べにくい、とのことで、本記事でまとめることにしました。サービスエンドポイントやプライベートエンドポイントが提供されておらず、Internet 許可ルールを書かなければいけないもの、オンプレミス側のサービスとして許可を検討する必要があるものをまとめています。
気づいたものを随時アップデートしています。足らないものがある点はご容赦下さい。
2.サマリー
| Azure サービス | ツール | サービスタグ可否 | FQDN タグ利用 |
|---|---|---|---|
| Azure ポータル | Azure 管理用 | あり | - |
| Azure Active Directory | Azure AD 接続 | あり | - |
| Windows ライセンス認証 | Windows OS 認証 | なし | - |
| Windows Update | Windows Update 更新用 | なし | あり |
| Log Analytics エージェント | Log Analytics エージェント利用 | なし | - |
| Azure Monitor エージェント | Azure Monitor エージェント利用 | あり | - |
| Microsoft Defender for Endpoint | MDE / Defender for Servers | あり | あり |
| Microsoft Defender for Identity | Active Directory 保護 | あり | - |
| Office 365 | Office 365 接続 | あり | - |
| Red Hat Update Infrastructure | Red Hat Enterprise Linux (RHEL) | なし | - |
| Azure Kubernetes Service | AKS からの AzureFirewall 外部接続 | 利用 | 利用 |
| Microsoft Defender for Containers | AKS に対して適用された Microsoft Defender for Containers の外部接続 | - | - |
| Azure Policy ゲスト構成 | Azure VM 内のセキュリティベースラインや DSC 構成管理 | あり | - |
| Qualys 拡張機能 | Defender for Servers P2 で Qualys 拡張機能を用いて脆弱性監視 | - | - |
| Ubuntu on Azure レポジトリ | Ubuntu OS レポジトリ | - | - |
3.使えそうな技
3.1 Internet アクセス時の手法
Azure Vnet 内からのアクセス許可については、NSG / UDR / AzureFirewall などで使えるタグ機能がある。こちらを使うと設定が楽になる。
3.1.1 サービスタグ
- NSG (Network Security Group) や Azure Firewall のネットワークルールで適用可能なタグ。
- 主に Microsoft 関連で使えるものは大体サービスタグがまとまっているので、使った方が楽。
- サービスタグによっては、NSG / Azure Firewall で使えるものと使えないものがあるので要注意。
- 利用可能なサービス タグを参照
- サービスタグがどこを許可してくれているのかは、以下のサイトで公開されている。
3.1.2 FQDN タグ
Azure Firewall 専用のタグ。アプリケーションルール (HTTP/HTTPS/SQL) の URL ベースで使われそうな Azure 通信をタグでまとめている。2023.3 現在、以下が対応している。
- WindowsUpdate
- WindowsDiagnostics
- MicrosoftActiveProtectionService (MAPS)
- AppServiceEnvironment (ASE)
- AzureBackup
- AzureHDInsight
- WindowsVirtualDesktop
- AzureKubernetesService (AKS)
- Office 365
- Windows 365
3.2 Internet アクセスを回避するための機能
クラウドサービスでは、サービスエンドポイント / プライベートエンドポイント(Private Link)を用いて、Vnet/Subnetから直接サービスへ接続が出来るようになっている。本記事の主旨とは外れるが、Vnetリソースからの接続についてはプライベートエンドポイント、サービスエンドポイント経由の接続が出来るものは率先的に利用を推奨とする。
3.2.1 サービスエンドポイント
3.2.2 プライベートエンドポイント
4.詳細
4.1 Azure ポータル
- 概要
- Azure VM で作業する際に、何かの際に Azure ポータルに接続して対処するため絶対必須。
- Azure Firewall でルール設定をする際に Azure ポータルだけは許可しておくとよい。
-
AzurePortal だけではアクセスできないケースあり。以下サービスタグも許可すると良い。
AzureActiveDirectoryAzureResourceManagerAzureFrontDoor.Frontend
| 方法 | ツール | 方法 |
|---|---|---|
| NSG AzureFirewall |
サービスタグ |
AzurePortal AzureActiveDirectory AzureResourceManager AzureFrontDoor.Frontend |
| Proxy など | 直指定 | 以下参照 |
4.2 Azure Active Directory
- 目的
- Vnet リソースやオンプレ環境から AAD 宛の認証飛ぶ前提で設計していることを考えると、こちらも絶対必須。
| 方法 | ツール | 方法 |
|---|---|---|
| NSG AzureFirewall |
サービスタグ | AzureActiveDirectory |
| Proxy など | 直指定 | Office 365 URL および IP アドレス範囲の ID 56、59、125 を許可すること。 |
4.3 Windows ライセンス認証
- 目的
- Windows OSを Azure にデプロイした後、OS のライセンス認証が走るので許可が必要
- 通し方
- サービスタグ/FQDNタグが無いので、以下 URL を通す必要あり
| URL | port | 概要 |
|---|---|---|
azkms.core.windows.net |
tcp:1688 | Windows のライセンス認証 |
20.118.99.224 |
tcp:1688 | Windows のライセンス認証 |
40.83.235.53 |
tcp:1688 | Windows のライセンス認証 |
インフォメーション
2022/7 に新しい Azure KMS のIPアドレスが追加されました
4.4 Windows Update
- 目的
- Windows OS のパッチ更新 & アップデート。
- Azure Firewall であれば FQDN タグが用意されているが、
https://*.prod.do.dsp.mp.microsoft.comを書いてあげても良い。
- 通し方
| 方法 | ツール | 方法 |
|---|---|---|
| Azure Firewall | FQDN タグ | WindowsUpdate |
| Proxy など | 直指定 | https://*.prod.do.dsp.mp.microsoft.com |
4.5 Log Analytics エージェント (OMS Agent)
- 目的
- オンプレミスや Azure VM に導入した Log Analytics エージェントの監視のため。
- 旧 OMS Agent とも呼ばれる。2024.8.31 にはサポート終了予定なので注意。
- 通し方
- サービスタグ / FQDN タグが無い
- ドキュメントに許可リストが載っているので、こちらを直設定で通す。
4.6 Azure Monitor エージェント (Azure Monitor Agent)
- 目的
- Log Analytics エージェントの後継として現在推奨される IaaS (VM) 監視エージェント。
- 通し方
- サービスタグが提供されている
- ただし、サービスタグの場合は全ての LAW (Log Analytics Workspace) 宛の許可になるため、最小権限として自ワークスペースに対する許可設定を行う場合は注意が必要
- Internet 経由ではなく、プライベートリンクで Vnet 直接続が可能 (DCR 設定が必要)
- Firewall 等で公開する要件が Docs に掲載されている。
- サービスタグが提供されている
| 方法 | ツール | 方法 |
|---|---|---|
| Vnet 直接続 | Private Link | Private Link 経由で DCR を通じて接続する。 |
| NSG Azure Firewall |
サービスタグ |
AzureMonitor AzureResourceManager |
| Proxy など | 直指定 | Docs 参照 |
[補足] 最小権限での Azure Monitor Agent 設計例
- 閉域網構成として、Azure Monitor Agent の通信先を限定する場合は以下を参照。
| 許可内容 | 方法 | URLなど |
|---|---|---|
| AccessControlService | URL | global.handler.control.monitor.azure.com |
| Fetch data collection rules for specific machine | URL | ${LOCATION}.handler.control.monitor.azure.com |
| Ingest logs data | URL | ${LAW_ID}.ods.opinsights.azure.com |
| カスタムメトリック | URL |
management.azure.com${LOCATION}.monitoring.azure.com
|
4.7 Microsoft Defender for Endpoint (MDE)
- 目的
- IaaS / VM に対する EDR / EPP エンドポイント保護の適用
- 通し方
- Firewall 等で公開する要件が Docs に掲載されている
- サービスタグ
MicrosoftDefenderForEndpoint+OneDsColelctorを用いる - 簡略化されたドメイン
*.endpoint.security.microsoft.comを用いる- 詳細はDocs「Microsoft Defender for Endpoint の合理化された接続を使用したデバイスのオンボード」を参照のこと
- 対応する MDE のバージョンがあるため注意が必要
| 方法 | ツール | 方法 |
|---|---|---|
| オンプレミス | ドメイン指定 |
*.endpoint.security.microsoft.com(簡略化されたドメイン) |
| NSG / Azure Firewall | サービスタグ |
MicrosoftDefenderForEndpointOneDsCollector を許可する |
| 全て | 直指定 | Docs 参照 |
4.8 Microsoft Defender for Identity (MDI)
- 目的
- Azure にリフトアップした ADDS に対して、Microsoft Defender for Identity を適用して、保護を検討する。
- 通し方
- 通信要件が Docs に掲載されている。
- サービスタグ AzureAdvancedThreatProtection が使える。
| 方法 | ツール | 方法 |
|---|---|---|
| NSG AzureFirewall |
直指定 | AzureAdvancedThreatProtection |
| 全て | 直指定 | Docs 参照 |
4.9 Office 365
- 目的
- IaaS / VM 環境からの Office 365 利用。
- 通し方
- [2023/2/28] 待望の Office 365 通信用タグが Azure Firewall ネットワークルールにて使えるようになった。
- https://learn.microsoft.com/en-us/azure/firewall/fqdn-tags?WT.mc_id=AZ-MVP-5003408
- アプリケーションルール側ではなく、ネットワークルール側なので注意
- これで、これまで悩んでいた Office 365 許可用通信開放に悩まなくて済む。。
通信要件が Docsに記載されている。ただし、公開されている Excel からどの URL を許可するのか、設定が面倒。。Azure Firewall に Office 365 通信用の ACL を設定する方法が Azure サポートチームのブログで公開されている。一見の価値あり。FQDN タグは 2022.3 現在、開発待ちの状況となっている。Global のパッケージで、Azure Firewall に Office 365 の許可リストを自動適用する ARM テンプレートがある。使ってみるの手。
- [2023/2/28] 待望の Office 365 通信用タグが Azure Firewall ネットワークルールにて使えるようになった。
| 方法 | ツール | 方法 |
|---|---|---|
| AzureFirewall | FQDN タグ |  |
| Proxy などで許可する場合 | 直指定 | Docs 参照 |
4.10 Azure Red Hat Update Infrastructure (RHUI)
- 目的
- Azure Marketplace にある Red Hat Enterprise Linux (RHEL) の従量課金 (PAYG) イメージから作成した VM の更新用。
- リポジトリサーバーは Azure バックボーン側で専用で提供されている。
https://rhui-1.microsoft.com
https://rhui-2.microsoft.com
https://rhui-3.microsoft.com
- 通し方
- サービスタグが用意されていないため、手動での設定が必要。
- Azure 用レポジトリの接続先 IP アドレスが公開されているので、以下を NSG や Azure Firewall のネットワークルールで許可して上げるのが良い。
- Hub & Spoke 環境で Vnet を分割している場合、Hub 側の Azure Firewall を経由した通信設計も可能だが、UDR でレポジトリ接続だけは直接許可する技もある。Proxy を構築しており、回避して Update は直通信を持たせたいといった要望であれば、この方法がお勧めである。
| 方法 | ツール | 方法 |
|---|---|---|
| AzureFirewall NSG |
IP 指定で許可 | こちら |
| UDR で許可 | 直指定 | Azure Support Docs 参照 |
4.11 Azure Kubernetes Service (AKS)
-
目的
- Vnet 環境に構築した AKS を Azure Firewall で保護する際に、outbound で許可する設計
-
通し方
- 公式 Docs に手順が記載されている(が!分かり難い)
- Azure Firewall での通信要件は以下の通り。
| 方法 | タグ | 命名 | Protocol | Port |
|---|---|---|---|---|
| Network Rule | ServiceTag | AzureCloud.$LOC | TCP | 9000 |
| Network Rule | ServiceTag | AzureCloud.$LOC | UDP | 1194 |
| Network Rule | ServiceTag | AzureCloud.$LOC | UDP | 123 |
| Application Rule | FQDN Tag | AzureKubernetesService | TCP | HTTPS:443 |
| Network Rule | IP 指定 |
API IPアドレス API サーバー(外部接続用) |
TCP | HTTPS:443 |
4.11 Microsoft Defender for Containers
-
目的
- AKS に対して適用された Microsoft Defender for Containers の外部接続通信ルートの確保
- 特定 Pod
microsoft-defender-publisher-ds-*が外部に通信するためのルート確保が必要
- 特定 Pod
- AKS に対して適用された Microsoft Defender for Containers の外部接続通信ルートの確保
-
通し方
- 公式 Docs に手順が記載されている
| 方法 | タグ | 命名 | Protocol | Port |
|---|---|---|---|---|
| Application Rule | FQDN | login.microsoftonline.com |
https | 443 |
| Application Rule | FQDN | *.ods.opinsights.azure.com |
https | 443 |
| Application Rule | FQDN | *.oms.opinsights.azure.com |
https | 443 |
4.12 Azure Automanage マシン構成 (旧 Azure Policy ゲスト構成)
- 目的
- オペレーティングシステムの設定をコードとして監査または構成する
- 構成設定に以下のようなものを含めることができる
- オペレーティング システムの設定
- アプリケーションの構成または存在
- 環境設定
- セキュリティベースラインを用いて、コンプライアンスチェックが出来るようになる
- 通し方
- Azure VM リソースからはプライベートエンドポイントが提供されている。
- NSG / Azure Firewall であれば、サービスタグ使える
- Azure Arc を用いた外部からの接続であれば、専用URLを通す
| 方法 | タグ | 命名 | Protocol | Port |
|---|---|---|---|---|
| Network Rule | ServiceTag |
AzureArcInfrastructure Storage |
https | 443 |
| 直指定 | URL |
*.guestconfiguration.azure.comagentserviceapi.guestconfiguration.azure.comAzure Storage エンドポイントのURL |
https | 443 |
4.13 Defender for Servers Qualys 拡張機能
-
目的
- Microsoft Defender for Servers P2 で、Azure VM や Azure Arc マシンに Qualys 脆弱性エージェントを導入するケース
- Microsoft Defender for Cloud で Qualys での脆弱性監視を行う場合に用いる
- Defender for Servers P2 では、MDE 側の脆弱性機能 (Microsoft 脅威と脆弱性の管理) も利用可能。MDE 側脆弱性の場合はこちらの URL / port 開放を行うこと。
-
通し方
- 直 Internet 通信が必要
- 通す URL は以下の通り。詳細は公式 Docs を参照のこと
| 方法 | タグ | 命名 | Protocol | Port |
|---|---|---|---|---|
| 直指定 | URL |
qagpublic.qg3.apps.qualys.comqagpublic.qg2.apps.qualys.eu
|
https | 443 |
4.14 Ubuntu on Azure レポジトリ
-
目的
- Azure VM で Ubuntu を構築し、公式レポジトリに接続するケース
- 個々のレポジトリサービスに接続する場合は、許可 URL を通すこと。
-
通し方
- 直 Internet 通信が必要
- 通す URL は以下の通り
| 方法 | タグ | 命名 | Protocol | Port |
|---|---|---|---|---|
| 直指定 | URL |
security.ubuntu.comarchive.ubuntu.comazure.archive.ubuntu.commotd.ubuntu.com*.archive.ubuntu.comentropy.ubuntu.comapi.snapcraft.iochangelogs.ubuntu.com
|
https | 443 |
5. 参考となる情報
Azure のドキュメントは各サービス毎に通すべき URL が紹介されている。
バラバラなのが問題なのだが、参考情報として記載しておく。