Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Azure Network Security Group(NSG) はじめてのDeep Dive

3,223 views

Published on

(2019/6/29に東京で開催されたInteract 2019で登壇した資料です。)
仮想マシン(IaaS)単体では他社クラウドもオンプレも大きく違いはありません。しかしそれを取り囲むネットワーク周りはセキュリティを担保するための考慮が色々と必要です。Azureにおける最も基本的なセキュリティ機能であるNetwork Security Group(NSG)の各種Tipsと、それを取り囲むPaaSとの安全な連携方法についてお話します。

Published in: Internet
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Azure Network Security Group(NSG) はじめてのDeep Dive

  1. 1. Azure Network Security Group (NSG) はじめてのDeep Dive 2019/6/29 Interact 2019 Yoshimasa Katakura (@yo_ta_n) #msinteract19 #DD02
  2. 2. 自己紹介 片倉 義昌 (かたくら よしまさ) (株)pnopで働いてます(2015~) Azureコンサルティングとかしてます 元インフラエンジニア、プログラマ(C, ASM) Microsoft MVP for Azure (2017~) Copyright© 2019, Y.Katakura All Rights Reserved. 2 yoshimasa.katakura@yo_ta_n はい次12345678910 https://qiita.com/yotan https://zakki.nya-n.net
  3. 3. JAZUG のご紹介 Japan Azure User Group ( 略称 : じゃずゆーじー) コミュニティ活動概要 Microsoft Azure を通じて、技術、交流、実ビジネスを楽しむ “ちょっと興味がある=ゆるふわな方“ から “実ビジネスで使うんだよね” な 方まで大歓迎!ゆるふわコミュニティです。 Facebook グループ運営中 「JAZUG」で検索! Twitter ハッシュタグ:#jazug 一緒に運営してくれるメンバーを募集中です。 コミュニティイベントの開催は「connpass」で告知しています https://jazug.connpass.com/ Copyright© 2019, Y.Katakura All Rights Reserved. 3
  4. 4. ご注意 本スライドは2019年6月29日現在の情報を元に作成しています Azureは日々の変化が激しく、今後どんどん機能追加、仕様変更が行われ ており、内容が古くなる事が想定されます Public CloudであるMicrosoft Azureの情報をベースとして記されています。 Azure Stackでも同様のアプローチが可能とは思いますが若干の差異はあ るかもしれないです お伝えする情報は基本的にはMicrosoft公式ドキュメントに記載のあるも のばかりですが、本スライドの内容だけを鵜呑みにしてオシゴトで活用 するのは止めましょうね https://docs.microsoft.com/ja-jp/azure/ Copyright© 2019, Y.Katakura All Rights Reserved. 4
  5. 5. 基本的なお話 Azure IaaSとPaaSについて Copyright© 2019, Y.Katakura All Rights Reserved. 5
  6. 6. まずはAzure IaaSとPaaSのおさらい Copyright© 2019, Y.Katakura All Rights Reserved. 6 Office 365 Dynamics 365 Microsoft Azure オンプレミス IaaS(仮想マシン) PaaS SaaS アプリケーション データ ランタイム ミドルウェア OS 仮想化技術 サーバー ストレージ ネットワーク 仮想化技術 サーバー ストレージ ネットワーク OS データ ランタイム ミドルウェア アプリケーション お客様 マイクロソフト お客様によるセキュリティ、運用管理の責任
  7. 7. IaaSの市民権について PaaS推しをするAzureコンサルタントが増えています(自分とか) 「アプリケーション基盤の運用とか可用性を考えるの メンドいですよね!」 「サーバレスとかマイクロサービス、コンテナも使えますよ!」 「IoT基盤だったら、IoT Hub, Stream Analytics, CosmosDB, Power BIの 鉄板構成でバッチリですよ!」 「Machine LearningもCognitiveも使えばAIも完璧!」 「クローズドな環境でApp Service使いたい?でしたら Application Service Environmentですよ!」 ……どれも間違いではないのですが。 Copyright© 2019, Y.Katakura All Rights Reserved. 7
  8. 8. やっぱりIaaS環境もとても大事 オンプレミスで動いているWindows, Linuxサーバをリフト&シフト でクラウドに持っていきたい (それでオンプレミスからは閉域接続したい) 業務アプリケーションがPaaS対応していないので、IaaSでアプリ ケーションをインストールして利用したい できればデータベースはクラウド移行したタイミングでフルマネー ジドなPaaSを利用したい (でも安全に接続したい) ……実際こういった相談もまだまだあります。 Copyright© 2019, Y.Katakura All Rights Reserved. 8
  9. 9. 仮想マシンなんてどれも一緒 仮想マシン単独の機能であれば、Azureも他社クラウドも、オ ンプレの仮想環境も大きな違いはありません しかし仮想マシンを取り巻くネットワーク周りの、接続やセ キュリティ設定は色々考慮が必要です Azure Network Security Group(NSG)は最も基本的なネットワー クのセキュリティ設定です おまけに無料で利用可能です Copyright© 2019, Y.Katakura All Rights Reserved. 9
  10. 10. IaaSの基本構成おさらい • 仮想マシンは仮想ネットワーク内のサブネットに配置する(厳密にはNICが) • 仮想マシンのNICは1つ以上配置可能 • 仮想マシンにはOSディスクの他にデータディスクが追加可能 • NICはパブリックIPアドレスを追加可能 • ロードバランサには内部ロードバランサとパブリックIPを持つ外部ロードバランサがある Copyright© 2019, Y.Katakura All Rights Reserved. 10 (VM) (OS Disk) (DATA Disk) (NIC)(PIP) (Load Balancer) (192.168.1.4) (192.168.1.10) (192.168.1.11) (192.168.0.4)
  11. 11. Network Security Group 基礎的なお話、具体的な適用方法 Copyright© 2019, Y.Katakura All Rights Reserved. 11
  12. 12. Network Security Group(NSG)って? Virtual Network内外でL4レベルでの通信制御が行えるFirewall的な機能 【例】 TCP/80(HTTP), TCP/443(HTTPS)はインターネットからアクセス許可する TCP/22(SSH), TCP/3389(RDP)は特定の拠点IPアドレスからのみアクセス可能にする Copyright© 2019, Y.Katakura All Rights Reserved. 12 •HTTP, FTP, IRC, SSH, DNSL7:Application •SSL, SSH, IMAP, FTP, MPEG, JPEGL6:Presentation •API’s, Sockets, WinSockL5:Session •TCP, UDPL4:Transport •IP, ICMP, IPSec, IGMPL3:Network •Ethernet, PPP, Switch, BridgeL2:Datalink •HardwareL1:Physical
  13. 13. 仮想ネットワーク NSGの適用範囲 NSGはAzureのリソースの一つ 以下の箇所に適用可能 仮想ネットワーク内のサブネット 仮想マシンのNIC ひとつのNSGを複数のサブネッ ト、NICに適用可能 13 Copyright© 2019, Y.Katakura All Rights Reserved. サブネット1 VM-1 VM-2 NSG-1 サブネット2 VM-3 VM-4 NSG-2 NSG-VM3
  14. 14. NSGに適用可能なルール 受信セキュリティ規則、送信セキュリティ規則がある それぞれのセキュリティ規則の中に必要なルールを追加していく 各ルールには「優先度」があり、ユーザは100~4096の範囲が使用可能 デフォルトルールというものが規定で作成される(削除できない) 受信セキュリティ規則 • 65000:仮想ネットワークからの受信は全部OK • 65001:Azure Load Balancerからの受信は全部OK • 65500:全ての受信を拒否 送信セキュリティ規則 • 65000:仮想ネットワークへの送信は全部OK • 65001:インターネットへの送信は全部OK • 65500:全ての送信を拒否 14 Copyright© 2019, Y.Katakura All Rights Reserved.
  15. 15. NSGに設定するルールについて ソース(送信元) Any(全て)、IP Address(CIDR形式、複数記述可能)、 サービスタグ、Application Security Group名 ソースポート範囲 複数記述可能、5000-5100等の範囲指定も可能 通常指定しない(*にする)場合が多い 宛先(送信先) Any(全て)、IP Address(CIDR形式、複数記述可能)、 サービスタグ、Application Security Group名 宛先ポート範囲 複数記述可能、5000-5100等の範囲指定も可能 プロトコル Any, TCP, UDP アクション 許可、拒否 優先度 100~4096の範囲で指定、値が小さい程高優先に なる 名前 任意の名前、受信セキュリティ規則、送信セキュ リティ規則、デフォルトルールの名前と重複して はいけない 後から変更不可 15 Copyright© 2019, Y.Katakura All Rights Reserved.
  16. 16. NSGルールで指定可能なサービスタグ VirtualNetwork AzureLoadBalancer Internet AzureTrafficManager AzureCloud / AzureCloud.[RegionName] Storage / Storage.[RegionName] Sql / Sql.[RegionName] AzureCosmosDB / AzureCosmosDB.[RegionName] AzureKeyVault / AzureKeyVault.[RegionName] EventHub / EvnetHub.[RegionName] ServiceBus / ServiceBus.[RegionName] MicrosoftContainerRegistry / MicrosoftContainerRegistry.[RegionName] AzureContainerRegistry / AzureContainerRegistry.[RegionName] AppService / AppService.[RegionName] AppServiceManagement / AppServiceManagement.[RegionName] ApiManagement AzureConnectors / AzureConnectors.[RegionName] GatewayManager AzureDataLake AzureActiveDirectory AzureMonitor ServiceFabric AzureMachineLearning BatchNodeManagement 16 Copyright© 2019, Y.Katakura All Rights Reserved. https://docs.microsoft.com/ja-jp/azure/virtual-network/security-overview
  17. 17. Azureデータセンター毎のIPアドレス サービスタグ別 https://www.microsoft.com/en- us/download/details.aspx?id=56519 データセンター別 https://www.microsoft.com/en- us/download/details.aspx?id=41653 Check-AzureIpAddress https://github.com/ShuheiUda/Check-AzureIpAddress Copyright© 2019, Y.Katakura All Rights Reserved. 17 13.78.12.XXX is in Azure japaneast region. 13.78.12.XXX is in AzureCloud.japaneast service tags. 13.78.12.XXX is in AzureCloud service tags.
  18. 18. 仮想ネットワーク NSGのルール説明(1) VM-1からVM-3にアクセスする 場合のNSG参照順序 NSG-1の送信セキュリティ規則 NSG-2の受信セキュリティ規則 NSG-VM3の受信セキュリティ規 則 18 Copyright© 2019, Y.Katakura All Rights Reserved. サブネット1 VM-1 VM-2 NSG-1 サブネット2 VM-3 VM-4 NSG-2 NSG-VM3
  19. 19. 仮想ネットワーク NSGのルール説明(2) VM-1からVM-2にアクセスする場 合のNSG参照順序 NSG-1の送信セキュリティ規則 NSG-1の受信セキュリティ規則 同一セグメント(サブネット)内の サーバに対してもNSGが適用され ていることに注意 (デフォルトのNSGルールで VirtualNetwork間は全許可になって いるだけなので誤解してしまう) 19 Copyright© 2019, Y.Katakura All Rights Reserved. サブネット1 VM-1 VM-2 NSG-1 サブネット2 VM-3 VM-4 NSG-2 NSG-VM3
  20. 20. 仮想ネットワーク サブネット1 Web-1 Web-2 DB-1 DB-2 NSG 192.168.0.10 192.168.0.11 192.168.0.20 192.168.0.21 192.168.0.10と192.168.0.11はTCP/80,443を許可 192.168.0.20と192.168.0.21はTCP/1433を許可 Application Security Group(ASG)とは(1) 用途の異なる(疎通条件の異な る)仮想マシンに対してIPアドレ スやセグメントの指定をせずに NSGのルールを簡素に書く手段 同一サブネットに複数の用途を 持つ仮想マシンが同居している 場合、IPアドレスをNSGに直接 記述するなど煩雑だった 20 Copyright© 2019, Y.Katakura All Rights Reserved.
  21. 21. 仮想ネットワーク Application Security Group(ASG)とは(2) 用途別のASGを各仮想マシンに 設定することで、NSGのルール にはIPアドレスの記載が不要と なり、直接ASGを指定すること でアプリケーションごとの制限 が可能となる。 21 Copyright© 2019, Y.Katakura All Rights Reserved. Web-1 Web-2 DB-1 DB-2 Web用ASG NSG Web用ASG DB用ASG DB用ASG Web用ASGはTCP/80,443を許可 DB用ASGはTCP/1433を許可
  22. 22. Application Security Group(ASG)適用手順 はじめにアプリケーションの種類毎にASGのリ ソースを作る 例えばWebサーバだったら「Web-asg」、DB サーバだったら「DB-asg」 仮想マシンに紐付いているNICに対して先に作成 したASGを設定する NSGのルールでは「宛先」欄にASGを選択する 22 Copyright© 2019, Y.Katakura All Rights Reserved.
  23. 23. Virtual Network Integration PaaSと統合するVirtual Networkのお話(NSG色少) Copyright© 2019, Y.Katakura All Rights Reserved. 23
  24. 24. Service Endpoint 各種PaaS側のFirewall機能で特定のSubnetからの通信を許可させる Storage Account、SQL Databaseなど、インターネット向けのエン ドポイントを持っているPaaSの接続制限を行う機能(あまりNSGと は関係ない) VMから各PaaSへ接続するときのアクセス先(エンドポイント)のホス ト名やURLは今までと一緒 ストレージアカウントだったら https://storageaccount01.blob.core.windows.net/ SQLDBだったら sqldb01.database.windows.net:1433 Copyright© 2019, Y.Katakura All Rights Reserved. 24 https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-service-endpoints-overview
  25. 25. Service Endpoint対応サービス General Availability(一般公開) Azure Storage Azure SQL Database, Data Warehouse Azure Database for PostgreSQL, MySQL, MariaDB Azure Cosmos DB Azure Key Vault Azure Service Bus Azure Event Hubs Azure Data Lake Store Gen 1 Public Preview Azure Container Registry Copyright© 2019, Y.Katakura All Rights Reserved. 25 https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-service-endpoints-overview
  26. 26. Virtual Network内に配置できるPaaS 各種PaaSをVirtual Network内のリソースにPrivate IP Addressを 使ってアクセス可能にする技術 PaaSの種類によってSubnetに配置する方式としない方式があ る App Services(ASE以外)もVirtual Networkと統合して、Private IP AddressでVM等と通信可能 https://docs.microsoft.com/ja-jp/azure/app-service/web-sites-integrate-with-vnet Copyright© 2019, Y.Katakura All Rights Reserved. 26
  27. 27. Azure Application Gateway L7レベルのロードバランサー、リバースプロクシ、WAF機能を 持つApplication Gatewayは仮想ネットワーク上に配置できる 27 Copyright© 2019, Y.Katakura All Rights Reserved. https://docs.microsoft.com/ja-jp/azure/application-gateway/ インターネットからのアク セス(TCP/80, TCP/443)が あると、内部のWebサー バに転送してくれる(雑 (Application Gateway) (Virtual Machines)
  28. 28. Azure Kubernetes Service(AKS) KubernetesのPaaSであるAKSは仮想ネットワーク上に配置でき る 28 Copyright© 2019, Y.Katakura All Rights Reserved. https://azure.microsoft.com/ja-jp/services/kubernetes-service/ コンテナコンテナ 仮想マシンからAKSで作成 したロードバランサ経由で コンテナにアクセス閉域で アクセス可能 (Virtual Machine) (AKS) (load Balancer)
  29. 29. Azure Cache for Redis Azure App Service Environment(ASE) RedisもASEも仮想ネットワーク上に配置できる 29 Copyright© 2019, Y.Katakura All Rights Reserved. https://azure.microsoft.com/ja-jp/services/cache/ https://docs.microsoft.com/ja-jp/azure/app-service/environment/intro (Virtual Machine) (Redis) (ASE) 仮想マシンから閉域網で App Serviceにアクセス 仮想ネットワーク内か らRedisにアクセス
  30. 30. Virtual Networkに配置可能なPaaS一覧 Azure Batch Azure Application Gateway Azure Firewall Azure Cache for Redis Azure SQL Database Managed Instance Azure HD Insight Azure Databrics Azure Active Directory Domain Services Azure Kubernetes Service Azure Container Registry Azure Container Service API Management App Service Environment Azure Logic Apps (ISEのみ) Azure 専用HSM Azure Netapp Files Copyright© 2019, Y.Katakura All Rights Reserved. 30 https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-for-azure-services
  31. 31. Tips 1 Internet, Virtual Network間の通信は制限しよう Copyright© 2019, Y.Katakura All Rights Reserved. 31
  32. 32. こんな感じのルール作っていませんか? Internetからのリモートデスクトップ接続を許可 あとはデフォルトのまま Copyright© 2019, Y.Katakura All Rights Reserved. 32 これ 大丈夫ですか?
  33. 33. リモート接続するIPアドレスは制限しましょう アクセス元のIPアドレスを個別に指定して特定の拠点やPCからのみ接続可能にしましょ う アクセス元のIPアドレスが不定の場合にはAzure Security Centerの「Just in time access」の利用も検討しましょう Copyright© 2019, Y.Katakura All Rights Reserved. 33 https://docs.microsoft.com/ja-jp/azure/security-center/security-center-just-in-time
  34. 34. 真打ち登場?Azure Bastion(ばぁすちゃん) Copyright© 2019, Y.Katakura All Rights Reserved. 34 2019/6/18にSSL経由のRDPおよびSSHが行えるAzure Bastionが Previewとして爆誕しました。 https://azure.microsoft.com/ja-jp/updates/azure-bastion-now-available-for-preview/ 仮想マシンのRDP, SSHポートは外部公開しなくて良くなります。 クライアントPCからはブラウザベースで仮想マシンにRDP,SSH が行えるようになります。 試用記事はこちら https://zakki.nya-n.net/?p=274
  35. 35. こんな感じのルール作っていませんか?(2) Internetからのリモートデスクトップ接続を許可 あとはデフォルトのまま Copyright© 2019, Y.Katakura All Rights Reserved. 35 これも 大丈夫ですか?
  36. 36. VirtualNetworkの通信もNSGで制御しま しょう 受信セキュリティ規則のデフォルトルールにある「AllowVnetInBound」 は他のルールを上書きして、必要なセグメントからのみアクセス可能に しましょう。 Copyright© 2019, Y.Katakura All Rights Reserved. 36
  37. 37. この全てが「VirtualNetwork」タグの範囲です Copyright© 2019, Y.Katakura All Rights Reserved. 37 (Point to Site VPN) (Site to Site VPN) (Express Route) (VNET Peering) (VNET to VNET VPN) 37
  38. 38. Internetからのアクセスは制限していても Virtual Network間(オンプレ含む)はガバガバ Copyright© 2019, Y.Katakura All Rights Reserved. 38 Access OK! Access OK! Access OK! Access OK! 38
  39. 39. なぜいけないのか 従来のいわゆるNorth-South型では、インターネットとの境界線で のみ対応していた しかし、オンプレミス閉域網までもがつながる環境であるEast- West型では、閉域ネットワーク内の通信も守る必要がある オンプレミス側の人やPCは本当に安全ですか? 悪意のある人はゼロですか?誰もミスしませんか? ウイルス感染しているPCは1台もありませんか? 万全を考えれば、次世代ファイアーウォールと言われている製品を Azure仮想ネットワーク上に仮想アプライアンスとして導入して、 North-South / East-Westの通信全てを管理すればいいけど、コスト もかかる(NSGは無料) Copyright© 2019, Y.Katakura All Rights Reserved. 39
  40. 40. NSG Tips 2 送信セキュリティ規則の罠? Copyright© 2019, Y.Katakura All Rights Reserved. 40
  41. 41. NSGを設定しても抜けてくれる送信規則 以下の送信ルールはNSGによる指定有無に関わらず抜けます Windows Server仮想マシンのライセンス認証サーバ • kms.core.windows.net(23.102.135.246) – TCP/1688 • US South regionに存在している DHCPサーバ / Azure標準のDNSサーバ • 168.63.129.16 • Azureの各リージョンに存在する仮想Public IP Address なので、送信規則を誤って絞りすぎても、VMが起動しないとか、 ライセンスが失効するといった事態にはならない Copyright© 2019, Y.Katakura All Rights Reserved. 41 https://docs.microsoft.com/ja-jp/azure/virtual-network/security-overview#azure-platform-considerations
  42. 42. 送信規則でInternetを全て拒否すると… Azure観点 VMレベルでの診断設定が行えなくなる(Log AnalyticsやStorageにメトリックやログが保存でき なくなる) 中で動いているアプリケーションがSQL DBやBLOB Storageにアクセスできなくなる etc… OS観点 Windows UpdateやYumで直接VMからアップデートできなくなる Googleや、ようつべに繋げられなくなって辛い Copyright© 2019, Y.Katakura All Rights Reserved. 42
  43. 43. 回避策 Azure観点 NSGの送信ルールで適切なサービスに対応したサービスタグ宛の通信を許容しましょう • Log Analyticsだったら「AzureMonitor」を空ける。 • 利用サービスと対応するサービスタグが不明の場合は「AzureCloud」の指定も可 • VMからダイレクトにStorage BLOBを使っているケースでは「Storage.japaneast」とリージョン指定 するのも良し • Azure内の通信は接続先が例えPublic IP Addressであっても、Azureデータセンター(リージョン間含む) から外部インターネットに通信が出てしまう事はありません OS観点 NSGで接続先のIPアドレスを指定して個別に空けましょう NSGの送信規則の1レコードにはCIDR指定ができる他複数のIPアドレスが列挙できます 「IPアドレスなんて知らないよう」という場合はAzure Firewallを導入することで、 Outboundの通信をFQDNで制御できるので、こちらを検討しましょう。 Copyright© 2019, Y.Katakura All Rights Reserved. 43
  44. 44. NSG Tips 3 Azure Application Gateway / Azure Load Balancerを経由させる場合 Copyright© 2019, Y.Katakura All Rights Reserved. 44
  45. 45. NSGでなにあける? Azure Load Balancer (Internal) • 接続元仮想マシンNICのIPアドレス(Private)が送信元となる • 他に168.53.129.16から正常性プローブのアクセスがあるのでサービスタグ「AzureLoadBalancer」 は閉じない事 Copyright© 2019, Y.Katakura All Rights Reserved. 45 (Load Balancer) (192.168.10.4) (192.168.10.10) (192.168.10.11)(192.168.0.4) Source Address : 192.168.0.4 Probe (168.63.129.16)
  46. 46. NSGでなにあける? Azure Load Balancer (External) Copyright© 2019, Y.Katakura All Rights Reserved. 46 (Load Balancer) (192.168.10.10) (192.168.10.11) Source Address : 124.41.95.xxx (PIP) (13.78.68.128) (外部PC) (124.41.95.xxx) Probe (168.63.129.16) • 接続元PCのWAN側IPアドレス(Public)が送信元となる • 他に168.53.129.16から正常性プローブのアクセスがあるのでサービスタグ「AzureLoadBalancer」 は閉じない事
  47. 47. NSGでなにあける? Azure Application Gateway(Internal) Copyright© 2019, Y.Katakura All Rights Reserved. 47 (192.168.10.10) (192.168.10.11) (192.168.5.4) Source Address : 192.168.5.0/24 (192.168.0.4) Probe (192.168.5.0/24) • Application Gatewayの配置してあるSubnet内に配置されたInstanceが送信元となるため、Subnet のアドレス範囲が送信元になる(上記例では実際には192.168.5.5~) • 正常性プローブもSubnet内に配置されたInstanceからアクセスされる
  48. 48. NSGでなにあける? Azure Application Gateway(External) Copyright© 2019, Y.Katakura All Rights Reserved. 48 (192.168.10.10) (192.168.10.11) (192.168.5.4) Source Address : 192.168.5.0/24 (PIP) (13.78.68.128) (外部PC) (124.41.95.xxx) Probe (192.168.5.0/24) • Internalと同様に、Application Gatewayの配置してあるSubnet内に配置されたInstanceが送信元と なるため、Subnetのアドレス範囲が送信元になる(上記例では実際には192.168.5.5~) • 正常性プローブもSubnet内に配置されたInstanceからアクセスされる
  49. 49. (参考)Firewallでなにあける? Azure Application Gateway (to App Services) Copyright© 2019, Y.Katakura All Rights Reserved. 49 (192.168.5.4) Source Address : Don’t Care (Web Apps) (192.168.0.4) • Public IP Addressを持たないApplication GatewayからのPaaSアクセス時には接続元IPアドレスは不定となる (実際には各リージョン毎の仮想マシンに割り当てられたアドレスのうちどれかが割り当てられるが、専有ア ドレスではない) • App ServicesのサービスエンドポイントのGAが期待されている(現在はLive Preview)
  50. 50. (参考)Firewallでなにあける? Azure Application Gateway (to App Services)(2) Copyright© 2019, Y.Katakura All Rights Reserved. 50 (192.168.5.4) Source Address : 13.78.68.128 (Web Apps)(PIP) (13.78.68.128) (外部PC) (124.41.95.xxx) • Application GatewayがPublic IP Addressを持っていると、接続元IPアドレスはそれになる。 • Application Gateway V2からはPublic IP Addressを固定化する事が可能になった
  51. 51. Tips 4 その他たまにある疑問 Copyright© 2019, Y.Katakura All Rights Reserved. 51
  52. 52. Express Route, VPN接続の場合のNSG Copyright© 2019, Y.Katakura All Rights Reserved. 52 (Site to Site VPN) (Express Route Private Peering) • GatewaySubnetにはNSGが適用できない(残念) • オンプレミスからの接続をGatewaySubnetで一括して特定のポートに絞るといった事は 出来ないので、各SubnetのNSGで設定する必要がある
  53. 53. Public IP Addressを持たないVM Copyright© 2019, Y.Katakura All Rights Reserved. 53 (PIP) (13.78.68.128) Source Address : 13.78.68.128 Source Address : Don’t Care • Public IP Addressを持たないVMもインターネットに出ていける。この場合の接続元IPアドレスは不定となる (実際には各リージョン毎の仮想マシンに割り当てられたアドレスのうちどれかが割り当てられるが、専有ア ドレスではない) • Public IP Addressを持たないVMだからといって、NSGの送信セキュリティ規則を疎かにしてはいけない
  54. 54. ping(ICMP)送りたい NSGの受信規則で指定できるプロトコルは従来はTCP/UDPのみの指定でした 以下のルールで回避は一応可能でしたが微妙でしたね Copyright© 2019, Y.Katakura All Rights Reserved. 54
  55. 55. NSGのプロトコル指定に新たに「ICMP」「ESP」が増えました! API Versionは2019-04-01からとなっており、本日時点ではAzure CLIと REST API直のみ対応している模様 (Power ShellとAzure Portalはもう少し待とう!) https://github.com/Azure/azure-rest-api-specs/blob/master/specification/network/resource- manager/Microsoft.Network/stable/2019-04-01/networkSecurityGroup.json Azure CLIからは以下の感じでルール追加が可能です $ az network nsg rule create --resource-group NetworkEnv01 ¥ --nsg-name azure-common-nsg --access Allow ¥ --destination-address-prefixes "*" --destination-port-ranges "*" ¥ --direction Inbound --name Allow_ICMP --priority 1005 ¥ --protocol ICMP --source-address-prefixes 124.41.95.XXX ¥ --source-port-ranges "*" NSGのプロコル指定が増えました Copyright© 2019, Y.Katakura All Rights Reserved. 55 Special Thanks to @syuheiuda
  56. 56. おわりに NSGは無料で利用できる割に、正しく設定す ればそれなりの効果があることが理解頂けた と思います IaaS環境構築する上で重要かつ基本となるほ か、PaaS側もどんどんVirtual Networkとの統 合が進んでいるので常に新しい機能を今後共 キャッチアップするのが良いと思います Copyright© 2019, Y.Katakura All Rights Reserved. 56
  57. 57. 57 I ♥ Azure

×