Azure ネットワークセキュリティグループ


ここでは、CloudGuard でAzure アカウントのネットワークセキュリティグループを作成および変更する方法について説明します。アカウントは管理モードである必要があります。

AzureアカウントのリージョンまたはリソースグループごとにNSGを作成できます。

  1. CloudGuard コンソールで、Network SecuritySecurity Groups ページに移動します。

  2. Azureアカウントを選択し、をクリックします。 をクリックします。

  3. セキュリティグループの名前と説明を入力します。

    新しいNSG はデフォルトルールで作成されます。

このプロシージャでは、CloudGuard のAzure 環境を管理対象モードに設定する方法について説明します。CloudGuardするには、Onboarding Azure サブスクリプションから始める必要があります。

マネージドモードでは、CloudGuard からアカウントのセキュリティグループを管理できます。

  1. Assets メニューで、Environments ページに移動します。

  2. Azure 環境を選択します。

  3. ツールバーで、スイッチをRead only からManaged に移動します。


  4. 確認メッセージが開きます。Switchをクリックします。

  5. OK をクリックして変更を確定します。

    - 環境を読み取り専用に戻すことができます。CloudGuardからセキュリティグループを設定することはできません。

CloudGuard では、Azure NSG の詳細を変更できます。NSG は管理モードである必要があります。NSG のルールを追加、削除、または変更できます。

  1. Network SecuritySecurity Groups ページに移動します。すべての環境のセキュリティグループが表示されます。

  2. リストで対象のAzure NSG をクリックします。

  3. Edit Modeをクリックします。

  4. Click to add new ruleをクリックします。

  5. ルールの詳細を入力します。

    たとえば、SSH ルールを追加します。

    セキュリティグループのパラメータを設定します。

    Service Type - 定義済みサービスのリストが含まれており、タイプを選択すると、ほとんどの必須フィールドが自動的に入力されます。

    Action - 拒否または許可-ルールが一致した場合に適用するアクセスのタイプ。

    Priority - ルールは優先度順にチェックされます。ルールが適用されると、一致のテストが行われるルールはなくなります。

    Protocol - TCP、UDP、または*

    Destination Port Range - ルールに一致する宛先ポート範囲。

    Destination Type - ルールに一致する送信元アドレスプレフィックスまたはタグ。

    Name - ルールの名前。

    詳細については、https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-nsg.を参照してください。

  6. NSG に複数のルールが含まれている場合は、新しいルールをドラッグして、他のルールの間に配置できます。

    - Drag or Click to add new rule をルール間にドラッグして、その場所に直接ルールを作成できます。

  7. Save Changesをクリックします。

Azureセキュリティグループにタンパ保護を適用できます。改ざん防御は、セキュリティグループに対して行われた不正な変更、つまりCloudGuard で行われなかった変更を検出し、CloudGuard で定義した設定にリセットします。

タンパー保護は、管理対象のアカウントのAzure NSG にのみ適用できます。

  1. Network SecuritySecurity Groups ページに移動します。すべての環境のセキュリティグループが一覧表示されます。

  2. リストで対象のAzure NSG をクリックします。


  3. Tamper Protection スイッチをON にします。

  4. 確認メッセージのConfirm をクリックします。