ネットワーク セキュリティ グループ(NSG)とは
ネットワークセキュリティグループ(NSG)は、Azureリソースへのインバウンドおよびアウトバウンドのネットワークトラフィックをフィルタリングするアクセス制御リストだ。送信元IP・宛先IP・プロトコル・ポート番号の組み合わせでルールを定義し、許可または拒否する。
NSGはサブネットまたはネットワークインターフェイス(NIC)に関連付けられる。サブネットに関連付けると、そのサブネット内の全リソースに適用される。NICに関連付けると特定のVMにのみ適用される。デフォルトでは、Azure内部からの通信・インターネットへのアウトバウンドは許可、インターネットからのインバウンドは拒否というルールが組み込まれている。
試験での問われ方
NSGとAzure Firewallの違いが問われる。NSGはL4(IPアドレス・ポート)レベルのフィルタリングで、VNet内の通信制御に使う。Azure FirewallはステートフルなマネージドファイアウォールでFQDN(ドメイン名)ベースのフィルタリングやアプリケーションルールに対応し、ハブVNetでの集中管理に向く。SC-900やAZ-104では『ポート80を許可するにはNSGかFirewallどちらか』という問いで使い分けを問われる。
このサービスが登場する演習問題(11問)
- 【AZ-900】ある企業がAzureにVMをデプロイする際に、インターネットからのRDP(リモートデスクトップ)アクセスを特定のIPアド…
- 【AZ-900】ある企業がAzureのセキュリティ機能を評価している。「多層防御(Defense in Depth)」の観点から、Azu…
- 【SC-900】ある企業のセキュリティチームが、多層防御(Defense in Depth)の考え方に基づいて複数のセキュリティ層を設計…
- 【SC-900】ある開発チームが、Azure 仮想ネットワーク内の複数の仮想マシンに対し、同じポートフィルタリングルールをグループ単位で…
- 【SC-900】ある企業がAzure上でWebフロントエンドとバックエンドAPIの2層構成のアプリを運営している。セキュリティチームは、…
- 【SC-900】ある企業が Azure 上にWebアプリとデータベースを展開する際、ネットワークセキュリティを強化するために使用できるA…
- 【AZ-104】ある企業がAzureで多層Webアプリケーションを運用している。Webサーバー(10個)とアプリサーバー(5個)が存在し…
- 【AZ-104】ある企業のネットワーク管理者が、Azure VMがインターネット上の特定のIPアドレスへ通信できるかどうかを確認したい。…
- 【AZ-104】ある企業のセキュリティ監査で、Azure VMがインターネットから予期しないポートで通信を受けていることが判明した。Ne…
- 【AZ-104】ある企業がAzure VNet内のSubnet-AにあるVM-1からSubnet-BにあるVM-2へのTCP/443通信…
- 【AZ-104】ある企業がAzure Load Balancer(Standard SKU)を展開する際に考慮すべきSKUの特性として正…