ネットワークセキュリティグループとAzure Firewall - Azureのチュートリアル

ネットワークのセキュリティを 高めるためには、 必要な通信のみを許可する必要が あります。 Azure にはファイアウォール機能が 用意されており、 通信の種類や方向など指定して トラフィックを制御できます。 ネットワークセキュリティを 高めるために、Azure では ２つのファイアウォール機能があります。 その機能となるのが ネットワークセキュリティグループと Azure Firewall です。 どちらもファイアウォールとして機能し 仮想マシンなどのリソースで行なわれる 送受信のトラフィックを制限できます。 ただし、それぞれには、 異なる特徴があります。 ネットワークセキュリティグループの 動作イメージは、 パーソナルファイアウォールです。 仮想マシンのネットワーク インターフェイス、 または仮想ネットワークのサブネットへの 割り当てを行い、 規則に基づく制御を行います。 例えば、インターネットから 仮想マシンへの通信で、仮想マシンの ネットワークインターフェイスに 割り当てた場合の動作について 説明します。 ある仮想マシンを Webサーバ として 外部に公開する場合、 その仮想マシンの ネットワークインターフェースに 割り当てた ネットワークセキュリティグループで 通信の種類や送信元などを指定して 規則を構成します。 これによりインターネットから この仮想マシンあての HTTP の通信は許可されます。 一方、別の仮想マシンの ネットワークインターフェイスには、 別のネットワークセキュリティグループが 割り当てられています。 このネットワークセキュリティグループでは 通信を許可する規則は 構成されていないため、 この仮想マシンあての通信は 拒否されます。 このようにパーソナルファイアウォールの ようなイメージで動作するのが ネットワークセキュリティグループです。 一方 Azure Firewall の動作イメージは ネットワークファイアウォールです。 つまりネットワークとネットワークの 境界に配置し、 そこで規則に基づく制御を行います。 Azure Firewall についても インターネットから仮想マシンへ という方向での動作について 解説します。 Azure Firewall は 一般的に仮想マシンが 所属する仮想ネットワークとは 別の仮想ネットワーク上に…