AZ-104の学習をしていて、思考を整理するために記事として書き記しています。
ご参考になれば幸いです。

Azure Network Security Group（NSG）とは？

Azure Network Security Group（以下NSG）は、Azureのリソースに対するネットワークトラフィック（通信の流れ）を制御するための機能です。ファイアウォールのような役割を持ち、リソースへのアクセスを制御しています。
仮想ネットワークのサブネットやNetwork Interface Card(NIC) に適用できます。一つのNSGを複数のサブネットに割り当てたり、複数のNICに割り当てることもできます。ただ、サブネットとNICの両方同時に割り当てることは競合の恐れがあるため推奨されていません。

どうしてNSGが必要？

クラウド環境では、多くのリソースがインターネットに接続されています。そのため、セキュリティを強化し、不正アクセスからリソースを守ることが重要です。NSGを使用することで、ネットワークレベルでのセキュリティを簡単に設定でき、リスクを最小限に抑えることができます。

NSGの基本的な仕組み

NSGは「ルール」の集まりです。各ルールは以下の要素で構成されています。

• 名前：ルールを識別するための名前
• 優先度: ルールの適用順序を決める数値。数値が小さいほど優先されます
• 方向: トラフィックが入ってくる「受信（Inbound）」か、出ていく「送信（Outbound）」かを指定します
• プロトコル: TCPやUDPなどの通信プロトコルを指定します
• ソースと宛先: 通信の発信元と送り先のアドレスや範囲を指定します
• ポート範囲: 対象とするポート番号を指定します
• アクション: 通信を許可（Allow）するか、拒否（Deny）するかを決めます
  これらのルールに基づいて、NSGはネットワークトラフィックを制御します。

NSGの設定方法

本記事では、**外部・サブネット・仮想マシン（VM）**という3要素を使って、NSGの設定方法を分かりやすく解説します。今回は、サブネットにNSGを適用し、NICには適用しない構成を採用します。

サブネットにNSGを適用する理由

仮想ネットワーク（VNet）内に存在するサブネットは、複数のリソース（VMなど）をグループ化する単位です。サブネットにNSGを適用することで、そのサブネット内のすべてのリソースに一括してセキュリティルールを適用できます。この方法は、管理がシンプルであり、トラフィック制御の競合も防ぐことができます。

受信トラフィックの流れを確認

受信トラフィックはまず外部からサブネットに到達し、サブネットに適用されたNSGで許可または拒否されます。その後、許可されたトラフィックのみが仮想マシンに送られます。今回のケースでは受信が拒否されているため、vmまで到達しません。

外部
  ↓
サブネット（NSGで制御）
  ↓
仮想マシン（VM）

送信トラフィックの流れを確認

送信トラフィックは、仮想マシンからサブネットに送られ、その後外部に送信されます。サブネットに適用されたNSGによって、送信トラフィックも制御され、許可されたトラフィックのみが外部に送信されます。今回のケースではポート番号80への送信が許可されています。

仮想マシン（VM）
  ↓
サブネット（NSGで制御）
  ↓
外部

おわりに

今回の記事ではNSGの基本的な流れを記載いたしました。
学習が進みましたら、より細かい内容も追記していこうと思います。
最後までお読みいただきありがとうございました。
間違いなどがございましたら、ご指摘いただけますと幸いです。