気をつけたいところを随時更新。個人用備忘録
Azure Network Security Group
Azure NSGはAzure内のリソースに対してのアクセスにセキュリティ規則を作ることができるサービス。
参考→https://docs.microsoft.com/ja-jp/azure/virtual-network/network-security-groups-overview
Azure Firewallとの違い→https://jpaztech.github.io/blog/network/difference-nsg-fw/
基本的にAzure FirewallはInternetとVirtual Network間のセキュリティ規則の作成に使われるらしい。
L3からL7までのセキュリティルールを作成可能。
Azureからシグネチャが配信され、最新の脅威をブロック可能。
Azure Firewallは課金されるのでNSGで実装できるところはNSGでやりたい
設定手順
個人的に気を付けたいと思ったところ
Internetからのアクセスを許可したい場合、Service Tag の Internetを選択する
ソースポート範囲は基本AnyでOK
サブネットで関連付けをしないとネットワークにセキュリティグループが割り当てられない
ということは異なるサブネットに異なるセキュリティ規則を設定したい場合には
NSGをもう一つ作る必要がある
- NSG自体に課金はない
おまけ
ログも取得可能。
ネットワーク セキュリティ グループを通過するすべてのトラフィックを、分析のためにログに記録可能、
Azure Network Watcher サービスを使用し、NSG フロー ログを有効にする。 ログは、ストレージ アカウントの JSON ファイルに保存される。