NSG(NetworkSecurityGroup)
NSG(Network Security Group)とは、仮想ネットワーク内で送受信するトラフィックを制御する機能。NSGは仮想ネットワークのサブネットか、仮想マシンのNIC(ネットワークインターフェイスカード)に関連付けして使用する。NSGでは、外から内と内から外への送受信のセキュリティ規則を設定できる。Azure仮想ネットワークのNSGの場合は、作成時のデフォルトのセキュリティ規則が仮想ネットワーク内の送受信をすべて許可し、インターネットからの受信は拒否、送信は許可になっている。新たにセキュリティ規則を設定し上書きすることで、より詳細な設定が可能になる。
NSGのセキュリティ規則の設定項目で重要なのは優先度だ。Azure NSGの場合、優先度は100~4096の数値を設定し、数値が小さいほど優先順位が高くなる。同じサブネットやNICに設定されたセキュリティ規則では優先度の高いものが処理され、低いものはスルーされる。セキュリティ規則では、他に対象となるポート番号の範囲や通信プロトコルなども設定する必要がある。設定ミスはセキュリティリスクを生み出すため、慎重な設定が必要だ。
NSGは仮想ネットワーク全体には関連付けられないため、Azure仮想ネットワーク(VNet)でそうした機能が必要な場合は、有償のAzure Firewall機能を使用する。Azure FirewallとAzure NSGを組み合わせて、セキュリティ強度を高めることは可能だ。
(狐塚淳)