Azure Virtual Network のアプリケーション セキュリティ グループを使用すると、アプリケーションの構造の自然な拡張機能としてネットワーク セキュリティを構成できます。これにより、仮想マシンをグループ化し、それらのグループに基づいてネットワーク セキュリティ ポリシーを定義できます。 明示的な IP アドレスを手動でメンテナンスせずに、大きなセキュリティ ポリシーを再利用することができます。 プラットフォームが明示的な IP アドレスと複数の規則セットの複雑さを処理するので、ユーザーはビジネス ロジックに専念することができます。 アプリケーション セキュリティ グループをよりよく理解するために、次の例について考えてください。
前の図では、NIC1 と NIC2 が AsgWeb アプリケーション セキュリティ グループのメンバーです。 NIC3 は、AsgLogic アプリケーション セキュリティ グループのメンバーです。 NIC4 は、AsgDb アプリケーション セキュリティ グループのメンバーです。 この例の各ネットワーク インターフェイス (NIC) は 1 つのアプリケーション セキュリティ グループのメンバーにすぎませんが、ネットワーク インターフェイスは 、Azure の制限まで、複数のアプリケーション セキュリティ グループのメンバーにすることができます。 ネットワーク セキュリティ グループが関連付けられているネットワーク インターフェイスはありません。 NSG1 は両方のサブネットに関連付けられており、次の規則を含んでいます。
Allow-HTTP-Inbound-Internet
この規則は、インターネットから Web サーバーへのトラフィックを許可するために必要です。 インターネットからの受信トラフィックは、既定のセキュリティ規則 DenyAllInbound によって拒否されるため、AsgLogic または AsgDb アプリケーション セキュリティ グループに対する追加の規則は必要ありません。
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | インターネット | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
AllowVNetInBound の既定のセキュリティ規則では、同じ仮想ネットワーク内のリソース間のすべての通信が許可されるため、すべてのリソースからのトラフィックを拒否するには、この規則が必要です。
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Any | Deny |
Allow-Database-BusinessLogic
この規則は、AsgLogic アプリケーション セキュリティ グループから AsgDb アプリケーション セキュリティ グループへのトラフィックを許可します。 この規則の優先度は、Deny-Database-All 規則の優先度よりも高くなっています。 その結果、この規則は Deny-Database-All 規則の前に処理されるため、AsgLogic アプリケーション セキュリティ グループからのトラフィックは許可されますが、他のすべてのトラフィックはブロックされます。
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
アプリケーション セキュリティ グループのメンバーであるネットワーク インターフェイスは、送信元または送信先として指定するネットワーク セキュリティ グループ規則を適用します。 ネットワーク セキュリティ グループの規則は、他のネットワーク インターフェイスには影響しません。 ネットワーク インターフェイスがアプリケーション セキュリティ グループのメンバーでない場合、ネットワーク セキュリティ グループがサブネットに関連付けられている場合でも、この規則はネットワーク インターフェイスには適用されません。
Constraints
アプリケーション セキュリティ グループには、次の制約があります。
サブスクリプションに含めることができるアプリケーション セキュリティ グループの数には制限があり、その他にもアプリケーション セキュリティ グループに関連する制限があります。 詳細については、Azure の制限 に関する記事をご覧ください。
アプリケーション セキュリティ グループに割り当てられているすべてのネットワーク インターフェイスは、アプリケーション セキュリティ グループに割り当てられた最初のネットワーク インターフェイスと同じ仮想ネットワークに存在する必要があります。 たとえば、AsgWeb という名前のアプリケーション セキュリティ グループに最初に割り当てられたネットワーク インターフェイスが VNet1 という名前の仮想ネットワークにある場合、AsgWeb に以降に割り当てられるすべてのネットワーク インターフェイスが VNet1 に存在する必要があります。 異なる仮想ネットワークのネットワーク インターフェイスを同じアプリケーション セキュリティ グループに追加することはできません。
アプリケーション セキュリティ グループをネットワーク セキュリティ グループ規則の送信元と宛先として指定する場合、両方のアプリケーション セキュリティ グループのネットワーク インターフェイスが同じ仮想ネットワークに存在する必要があります。
- たとえば、 AsgLogic には VNet1 のネットワーク インターフェイスが含まれており、 AsgDb には VNet2 のネットワーク インターフェイスが含まれています。 この場合、 AsgLogic をソースとして割り当て、 AsgDb を同じネットワーク セキュリティ グループルールの宛先として割り当てることは不可能です。 ソースと宛先の両方のアプリケーション セキュリティ グループのすべてのネットワーク インターフェイスは、同じ仮想ネットワーク内に存在する必要があります。
Tip
必要なセキュリティ規則の数を最小限に抑えるには、必要なアプリケーション セキュリティ グループを計画します。 可能な場合は、個々の IP アドレスまたは IP アドレスの範囲ではなく、サービス タグまたはアプリケーション セキュリティ グループを使用してルールを作成します。
Next steps
- ネットワーク セキュリティ グループの作成方法を学習します。