ポイントを速習！「Azureの基礎（AZ900）」をみんなで学ぶ 第13回

実際にNSG（Network Security Group）とVNet Service Endpointを構成してみる

Azureのセキュリティで知っておきたいこと、対策の基礎【後編】

ASG（Application Security Group）をデプロイ

先ほどの環境にASGを追加する

　先ほど追加したSERVERS-NSGのセキュリティ規則では、DataServerの内部IP（10.0.1.4）を直接指定して、このIPアドレスからAppServerへのHTTP通信を拒否するよう設定されていました。しかし、もっと多くのDBサーバーをデプロイする場合、それぞれのIPアドレスに対応する規則を1つずつ作成していくのでは不便です。

　そこで最後に、DBサーバー用のASG（Application Security Group）を作成し、そのグループ内に所属するすべてのサーバーに対して、同じセキュリティ規則を割り当てられるようにしてみましょう。これでいくつか手間が減ることになりますね。なおこの場合、ASGには管理するVMのVIFを割り当てる必要があります。

1. DB-SERVERS-ASGという新規のASGを作成するために、次のコマンドを実行します。

az network asg create \
    --resource-group $rg \
    --name DB-SERVERS-ASG

2. DataServerとDB-SERVERS-ASGを関連付けるために、次のコマンドを実行して下さい。

az network nic ip-config update \
    --resource-group $rg \
    --application-security-groups DB-SERVERS-ASG \
    --name ipconfigDataServer \
    --nic-name DataServerVMNic \
    --vnet-name servers \
    --subnet DBs

3. 先に作成したSERVERS-NSGの「httpRule」セキュリティ規則を、DB-SERVERS-ASGに属するサーバーからAppServerへのHTTP通信を拒否する規則に更新します。次のコマンドを実行してください。

az network nsg rule update \
    --resource-group $rg \
    --nsg-name SERVERS-NSG \
    --name httpRule \
    --direction Inbound \
    --priority 150 \
    --source-address-prefixes "" \
    --source-port-ranges '*' \
    --source-asgs DB-SERVERS-ASG \
    --destination-address-prefixes 10.0.0.4 \
    --destination-port-ranges 80 \
    --access Deny \
    --protocol Tcp \
    --description "Deny from DataServer to AppServer on port 80 using application security group"

更新したセキュリティ規則を確認

　更新したセキュリティ規則が正しく機能しているかどうかを確認しましょう。先ほど（「VM間のHTTP接続を確認」の項）と同じ、次の2つのコマンドを順に実行します。

ssh -t azureuser@$APPSERVERIP 'wget http://10.0.1.4; exit; bash'
ssh -t azureuser@$DATASERVERIP 'wget http://10.0.0.4; exit; bash'

　すると、同じようにAppServerからはHTTP接続ができ、DataServerからはHTTP接続ができないことがわかります。これで、通信元IPアドレスの代わりにASGで指定したNSGのセキュリティ規則も、正しく機能することが確認できました。

　2台目、3台目のDBサーバーをデプロイした場合は、この項の2.で示した方法で新しいサーバーをDB-SERVERS-ASGに追加するだけで、簡単に適切なセキュリティを追加できます。

　以上でNSGのハンズオンは終わりです。ただし、これまで作成した環境（リソース群）は次のハンズオンでも使いますので、まだ消さずに残しておいてください。