[Azure] ネットワークセキュリティ

-

仮想ネットワークのトラフィック制御についてです。

NSG (Network Security Group)

ネットワークセキュリティグループ(以下NSG)は、仮想マシン等のリソースが送受信するネットワークトラフィックを制御するためのファイヤーウォール機能を提供する。

  • NSGは、仮想ネットワークのサブネット、もしくはネットワークインターフェースに関連付けて対象リソースの送受信トラフィックを制御する。
  • NSGは、インバウンド(受信)セキュリティ規則と、アウトバウンド(送信)セキュリティ規則で構成される。
  • サブネットとネットワークインターフェースに異なるNSGを関連付けた場合、両方のセキュリティ規則に許可されないとトラフィックは拒否される。
  • 仮想ネットワークを作成した段階で既定の送受信セキュリティ規則が作成され、サブネットに割り当てられる。

NSGの作成の流れ

  1. NSGの作成
    NSGの名前と適用範囲を指定する。
  2. NSGの構成
    NSGに適用するセキュリティルールを構成する。
  3. NSGの割り当て
    ネットワークインターフェースまたはサブネットにNSGを割り当て、セキュリティルールを有効にする。

NSGで構成可能な項目

ソース(送信元)

  • Any
    すべての送信元
  • IPアドレス
    単一のIPアドレス、CIDR形式のIPアドレス、カンマ区切りで複数のIPアドレス
  • サービスタグ
    Azureが提供するサービスや認識するネットワーク単位での指定
  • ASG
    定義済みのApplication Security Group

ソースポート範囲

送信元のポート範囲を0~65535で指定する。(※ワイルドカードですべてのポートを指定可能)

宛先

宛先のアドレスなどを、ソース(送信元)と同様の構成で指定する。

サービス

ソースポートと同様の設定を簡単にするための構成で、サービス名を指定すると宛先ポートが自動で構成される。

宛先ポート範囲

宛先のポート番号をソースポートと同様の構成で指定する。

プロトコル

利用するプロトコルを指定する。指定可能なプロトコルは以下

  • Any
  • TCP
  • UDP
  • ICMP

アクション

定義した規則にあてはまったトラフィックに対して行う動作「許可/拒否」を決める。

優先度

複数の規則が定義されている場合の処理する順番を100~4096の範囲で指定する。優先度の数値が低い規則が優先的に処理され、一度規則に合致した場合は、以降の規則は評価されない。

ASG (Application Security Group)

アプリケーションセキュリティグループ(以下ASG)は、サブネット内のリソースを役割毎にグループ化して、それぞれの用途に適したNSGの規則を割り当てることが出来る。

Azure Firewall

Azure Firewallは、異なるネットワーク間でトラフィックを一元管理するネットワークファイヤーウォールの役割を提供する。高可用性があらかじめ組み込まれていて、追加のロードバランサーなどの必要がないので、セキュリティの機能に注力して構成することができる。

  • Azure Firewallを配置する仮想ネットワークは、既存のリソースがあっても問題はないが、専用の仮想ネットワークが推奨される。
  • Azure Firewallを配置するサブネットの名前は、「AzureFirewallSubnet」にし、アドレスプレフィクスは「/26」以下にする必要がある。
  • Azure FirewallのSKUは、StandardとPremiumがある。

Azure Firewallで利用できるセキュリティ機能

アプリケーションのFQDNのフィルタリング規則(アウトバウンド制御)

FQDNの一覧に対して、送信のトラフィックの制限を行う。FQDNにはワイルドカードを含めることもできる。

ネットワークトラフィックのフィルタリング規則(アウトバウンド/インバウンド)

送信元と送信先のIPアドレス、ポート、プロトコルを基準として許可・拒否を制御する。

脅威インテリジェンス

Microsoft脅威インテリジェンスフィードを使用した、基地の悪意あるIPアドレスやドメインとのトラフィックに対して、警告や拒否といった制御ができる。

送信SNAT(Source NAT)

仮想ネットワーク内で発生した外部向けの通信をSNATを利用し、Azure FirewallのパブリックIPアドレスに変換する。

受信DNAT(Destination NAT)

Azure FirewallのパブリックIPアドレスで受信した接続を、仮想ネットワークのプライベートIPアドレスでフィルター処理を行う。

Azure Monitor

Azureの監視とログを威厳的に管理するAzure Monitorで、Azure Firewallの活動状況の監視を行う。また、Azure Firewallブックを利用して、高度なレポートをAzure Portalから出力することができる。

アプリケーションゲートウェイ

Azure Application Gatewayは、WEBアプリケーションに対するネットワークトラフィックを制御し、負荷分散機能を提供する。

WEBアプリケーションの通信ヘッダー情報などを含む7層レベルの情報に基づいてトラフィックを制御するため、URLパスやホストヘッダーにも続いてルーティングを制御できる。

主な機能

WEBアプリケーションファイヤーウォール(WAF)

SQLインジェクションやクロスサイトスクリプティングなど、一般的なWEBアプリケーションへの攻撃からサービスを守る。

WAFの規則は、OWASP(Open Web Application Security Proect)のコアルールセットに基づいて構成される。

SSLオフロード

クライアント端末からアプリケーションゲートウェイまでをSSLで保護し、バックエンドプールの仮想マシンまでをHTTPで通信する。こうすることで、SSL通信によるオーバーヘッドを少なくして負荷を軽減する。

コメント

コメントを投稿

このブログの人気の投稿

docker-compose up で proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host

-
いつものように docker-compose コマンドでコンテナを起動し作業しようとしたところ、件名のエラーが発生するようになりました。 特に何も構成等を変更した覚えはないのですが、調査・復旧したので対応した内容をまとめておきます。 環境、バージョン等 $ cat /etc/issue Ubuntu 20.04.3 LTS \n \l $ docker --version Docker version 20.10.8, build 3967b7d $ docker-compose --version docker-compose version 1.26.0, build d4451659 発生事象 コンテナを起動する docker-compose up -d でコンテナを起動します。 $ docker-compose up -d Pulling mysql (mysql:5.7)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host 「プロキシーサーバーが見つからない」と言われているようですが、全く見に覚えがありませんでした。 テスト用Dockerプロジェクトで試す 以前の記事 で紹介したテスト用プロジェクトでも一応試したましたが同様のエラーでした。 $ docker-compose up -d Pulling web (nginx:alpine)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host Docker ログイン Dockerへのログインを試したところ、こちらも同様のエラーが出ました。 $ docker login Authenticating with existing credentials... Login did not succeed, error: Error response from daemon: G
Read more »

docker-compose で起動したweb、MySQLに接続できない事象

-
イメージ
概要 以前作成したPHP + MySQL + LaravelのDockerプロジェクトがコンテナを立ち上げても画面にアクセスできなくなってしまったときの解決方法です。 以前の記事は以下です。 【Laravel + MySQL】Dockerで開発環境を作る https://www.s-watanabe.work/2020/12/laravel-mysqldocker.html 発生事象 コンテナを起動 $ docker-compose up -d Starting laravel-project_mysql_1 ... done Starting laravel-project_app_1 ... done Starting laravel-project_web_1 ... done ブラウザでアクセス いつものようにブラウザでアクセスしますが接続できません。 http://localhost:8000 ※この時Docker側のログには何も出力されません。 MySQLへ接続 MySQLも確認してみましたが同じく接続できなくなりました。 $ mysql -h 127.0.0.1 -u user -ppassword -D test mysql: [Warning] Using a password on the command line interface can be insecure. ERROR 2013 (HY000): Lost connection to MySQL server at 'reading initial communication packet', system error: 2 調査・確認 まず以下の記事を参考に新規のDockerプロジェクトが起動・接続できるかを確認しました。 https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-compose-on-ubuntu-20-04-ja # docker-compose はインストール済み $ docker-compose --version docker-compose version 1.26.0, build d
Read more »

【PHP】PHP_CodeSnifferを使う(コーディングルールのカスタマイズ)

-
phpcsを社内独自のコーディン規約などにあわせてカスタマイズする方法をまとめます。 インストールディレクトリ 以下のディレクトリにインストールされてます。 ~/.composer/vendor/squizlabs/php_codesniffer/ -rw-r--r-- 1 638 10 28 13:36 CONTRIBUTING.md -rw-r--r-- 1 187 11 26 12:08 CodeSniffer.conf.dist -rw-r--r-- 1 6399 10 28 13:36 README.md -rw-r--r-- 1 10085 10 28 13:36 autoload.php drwxr-xr-x 6 192 10 28 13:36 bin -rw-r--r-- 1 1083 10 28 13:36 composer.json -rw-r--r-- 1 1533 10 28 13:36 licence.txt -rw-r--r-- 1 6280 10 28 13:36 phpcs.xml.dist -rw-r--r-- 1 7054 10 28 13:36 phpcs.xsd -rw-r--r-- 1 340 10 28 13:36 phpstan.neon drwxr-xr-x 5 160 10 28 13:36 scripts drwxr-xr-x 16 512 10 28 13:36 src drwxr-xr-x 9 288 10 28 13:36 tests 設定ファイルを用意する CodeSniffer.conf.dist が雛形なのでこれをcpしてやればOKです。 cd ~/.composer/vendor/squizlabs/php_codesniffer/ cp CodeSniffer.conf.dist CodeSniffer.conf コーディングルールのカスタマイズ CodeSniffer.conf <?php $phpCodeSnifferConfig = array ( 'default_standard' => 'PSR2', 'repo
Read more »