NOBTAの気ままにITブログ

Azure全般 / SQL Serverに関する情報を発信していきます。

Azure アプリケーション セキュリティ グループ (ASG) について [Azure]


スポンサーリンク

Azure ネットワーク セキュリティ グループ (NSG) の拡張機能として、アプリケーション セキュリティ グループ (ASG)という機能があります。

今回は、アプリケーション セキュリティ グループ (ASG) について確認した結果を紹介したいと思います。

 

アプリケーション セキュリティ グループ (ASG) は、Azure仮想マシンに関連付けられたネットワーク インターフェース (NIC) 単位でグループ化して、グループ単位でネットワーク セキュリティ ポリシー (送信/受信の規則) を定義することができる機能となります。

 

f:id:nobtak:20200216233737p:plain

例えば、アプリケーション セキュリティ グループ 「ASG1」は、Azure 仮想マシン1 と 仮想マシン2 のネットワーク インターフェース (NIC) でグループ化され、アプリケーション セキュリティ グループ 「ASG2」は、Azure 仮想マシン3 のネットワーク インターフェース (NIC) でグループ化されているとします。

 

f:id:nobtak:20200216235714p:plain


仮想ネットワーク1のサブネット1に関連付けた NSG の受信ポートの規則を上記の図のように設定した場合、インターネットからのRDP接続(TCP 3389)は、「ASG1」でグループ化されているAzure仮想マシン1、2 のみ許可されて、インターネットからのSSH接続(TCP 22) は、「ASG2」でグループ化されているAzure仮想マシン3 のみ許可されるなど、各Azure仮想マシンのNICに対して、個別にネットワーク セキュリティ グループ (NSG) を設定しなくても、細かく制御することが可能になるため、ネットワーク セキュリティ ポリシーの定義に要する手間を軽減することができるのがメリットの一つかと思います。

 

 f:id:nobtak:20200217001211p:plain

ちなみに、アプリケーション セキュリティ グループ (ASG) でグループされているネットワーク インターフェース (NIC) に対して、さらに個別のネットワーク セキュリティ グループ (NSG) を関連付けた場合、仮に アプリケーション セキュリティ グループ (ASG) でインターネットからのRDP接続(TCP 3389)を許可していた場合においても、個別のネットワーク セキュリティ グループ (NSG) 側の受信の規則でも同様にインターネットからのRDP接続(TCP 3389)を許可しなければ、RDP接続(TCP 3389)することができませんでした。

アプリケーション セキュリティ グループ (ASG)とネットワーク インターフェース (NIC) 個別のネットワーク セキュリティ グループ (NSG)を組み合わせて使用する場合は、注意してみてください。

 

[参考] 

アプリケーション セキュリティ グループ は、「仮想マシン」-「ネットワーク」-「アプリケーションのセキュリティ グループ」 からグループ化の設定ができます。

 

f:id:nobtak:20200216234830p:plain