ネットワーク セキュリティ グループNetwork security groups

Azure 仮想ネットワーク内の Azure リソースが送受信するネットワーク トラフィックは、Azure ネットワーク セキュリティ グループを使ってフィルター処理できます。You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. ネットワーク セキュリティ グループには、何種類かの Azure リソースとの送受信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. 各規則で、送信元と送信先、ポート、およびプロトコルを指定することができます。For each rule, you can specify source and destination, port, and protocol.

この記事では、ネットワーク セキュリティ グループ規則のプロパティ、適用される既定のセキュリティ規則、および変更して拡張セキュリティ規則を作成できる規則のプロパティについて説明します。This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.

セキュリティ規則Security rules

ネットワーク セキュリティ グループには、0 個、または Azure サブスクリプションの制限内の任意の数の規則が含まれています。A network security group contains zero, or as many rules as desired, within Azure subscription limits. 各規則では次のプロパティを指定します。Each rule specifies the following properties:

プロパティProperty 説明Explanation
名前Name ネットワーク セキュリティ グループ内で一意の名前。A unique name within the network security group.
優先度Priority 100 ~ 4096 の数値。A number between 100 and 4096. 規則は、優先順位に従って処理され、数値が小さいほど優先順位が高いために、大きい数値の前に小さい数値が処理されます。Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. トラフィックが規則に一致すると、処理が停止します。Once traffic matches a rule, processing stops. この結果、優先順位低く (数値が大きい)、優先順位が高い規則と同じ属性を持つ規則は処理されません。As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
ソース/宛先Source or destination IP アドレス、クラスレス ドメイン間ルーティング (CIDR) ブロック (例: 10.0.0.0/24)、サービス タグ、またはアプリケーション セキュリティ グループ。Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Azure リソースのアドレスを指定する場合は、そのリソースに割り当てられているプライベート IP アドレスを指定します。If you specify an address for an Azure resource, specify the private IP address assigned to the resource. 受信トラフィックの場合、ネットワーク セキュリティ グループが処理されるタイミングは、Azure でパブリック IP アドレスがプライベート IP アドレスに変換された後です。送信トラフィックの場合は、Azure でプライベート IP アドレスがパブリック IP アドレスに変換される前になります。Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. 範囲、サービス タグ、またはアプリケーション セキュリティ グループを指定すると、作成するセキュリティ規則の数を減らせます。Specifying a range, a service tag, or application security group, enables you to create fewer security rules. 規則内で複数の個別 IP アドレスと範囲 (複数のサービス タグまたはアプリケーション グループは指定できません) を指定する機能は、拡張セキュリティ規則と呼ばれています。The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. 拡張セキュリティ規則は、Resource Manager デプロイ モデルで作成されたネットワーク セキュリティ グループでのみ作成できます。Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. クラシック デプロイ モデルで作成されたネットワーク セキュリティ グループで、複数の IP アドレスおよび IP アドレス範囲を指定することはできません。You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model.
ProtocolProtocol TCP、UDP、ICMP、または Any。TCP, UDP, ICMP or Any.
DirectionDirection 規則が受信トラフィックまたは送信トラフィックに適用されるかどうか。Whether the rule applies to inbound, or outbound traffic.
ポートの範囲Port range 個別のポートまたはポートの範囲を指定できます。You can specify an individual or range of ports. たとえば、80 や 10000-10005 などと指定できます。For example, you could specify 80 or 10000-10005. 範囲を指定すると、作成するセキュリティ規則の数を減らすことができます。Specifying ranges enables you to create fewer security rules. 拡張セキュリティ規則は、Resource Manager デプロイ モデルで作成されたネットワーク セキュリティ グループでのみ作成できます。Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. クラシック デプロイ モデルで作成されたネットワーク セキュリティ グループで、複数のポートまたはポート範囲を指定することはできません。You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
アクションAction 許可または拒否Allow or deny

トラフィックを許可または拒否するために、5 組の情報 (送信元、送信元ポート、送信先、送信先ポート、プロトコル) を使用して、優先度に従ってネットワーク セキュリティ グループ セキュリティ規則が評価されます。Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. 同じ優先度と方向が指定された 2 つのセキュリティ規則を作成することはできません。You may not create two security rules with the same priority and direction. 既存の接続に対するフロー レコードが作成されます。A flow record is created for existing connections. そのフロー レコードの接続の状態に基づいて、通信が許可または拒否されます。Communication is allowed or denied based on the connection state of the flow record. フロー レコードにより、ネットワーク セキュリティ グループはステートフルであることが可能になります。The flow record allows a network security group to be stateful. たとえば、ポート 80 経由で任意のアドレスに送信セキュリティ規則を指定した場合、送信トラフィックへの応答に受信セキュリティ規則を指定する必要はありません。If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. 通信が外部から開始された場合は、受信セキュリティ規則のみを指定する必要があります。You only need to specify an inbound security rule if communication is initiated externally. 反対の場合も同じです。The opposite is also true. ポートで受信トラフィックが許可されている場合、そのポートでのトラフィックに応答するために、送信セキュリティ規則を指定する必要はありません。If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.

フローを有効にしたセキュリティ規則を削除したときに、既存の接続が中断されない場合があります。Existing connections may not be interrupted when you remove a security rule that enabled the flow. 接続が停止され、少なくとも数分間、どちらの方向のトラフィックも流れていないときに、トラフィック フローが中断されます。Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

ネットワーク セキュリティ グループ内に作成できるセキュリティ規則の数には、制限があります。There are limits to the number of security rules you can create in a network security group. 詳細については、Azure の制限 に関する記事をご覧ください。For details, see Azure limits.

既定のセキュリティ規則Default security rules

作成する各ネットワーク セキュリティ グループに、Azure によって次の既定の規則が作成されます。Azure creates the following default rules in each network security group that you create:

受信Inbound

AllowVNetInBoundAllowVNetInBound
PriorityPriority sourceSource ソース ポートSource ports 宛先Destination 宛先ポートDestination ports ProtocolProtocol アクセスAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
PriorityPriority sourceSource ソース ポートSource ports 宛先Destination 宛先ポートDestination ports ProtocolProtocol アクセスAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny AllowAllow
DenyAllInboundDenyAllInbound
PriorityPriority sourceSource ソース ポートSource ports 宛先Destination 宛先ポートDestination ports ProtocolProtocol アクセスAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny 拒否Deny

送信Outbound

AllowVnetOutBoundAllowVnetOutBound
PriorityPriority sourceSource ソース ポートSource ports 宛先Destination 宛先ポートDestination ports ProtocolProtocol アクセスAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow
AllowInternetOutBoundAllowInternetOutBound
PriorityPriority sourceSource ソース ポートSource ports 宛先Destination 宛先ポートDestination ports ProtocolProtocol アクセスAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 インターネットInternet 0-655350-65535 AnyAny AllowAllow
DenyAllOutBoundDenyAllOutBound
PriorityPriority sourceSource ソース ポートSource ports 宛先Destination 宛先ポートDestination ports ProtocolProtocol アクセスAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny 拒否Deny

"ソース" 列と "宛先" 列の VirtualNetworkAzureLoadBalancer、および Internet は、IP アドレスではなく サービス タグです。In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. "プロトコル" 列で "Any" は TCP、UDP、ICMP を含みます。In the protocol column, Any encompasses TCP, UDP, and ICMP. 規則を作成するときに、TCP、UDP、ICMP、または Any を指定できます。When creating a rule, you can specify TCP, UDP, ICMP or Any. "ソース" 列と "宛先" 列の 0.0.0.0/0 は、すべてのアドレスを表します。0.0.0.0/0 in the Source and Destination columns represents all addresses. Azure portal、Azure CLI、または PowerShell などのクライアントでは * または any をこの式に使用できます。Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.

既定の規則は削除できませんが、優先順位の高い規則を作成することでオーバーライドできます。You cannot remove the default rules, but you can override them by creating rules with higher priorities.

拡張セキュリティ規則Augmented security rules

拡張セキュリティ規則を使用すると仮想ネットワークのセキュリティ定義が簡略化され、大規模で複雑なネットワーク セキュリティ ポリシーを少ない規則で定義できます。Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. 複数のポート、複数の明示的 IP アドレスおよび範囲を組み合わせて、単一のわかりやすいセキュリティ規則を作成することができます。You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. 拡張規則は、規則のソース、宛先、ポート フィールドで使います。Use augmented rules in the source, destination, and port fields of a rule. セキュリティ規則の定義の保守を簡素化するには、拡張セキュリティ規則とサービス タグ または アプリケーション セキュリティ グループ を組み合わせます。To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. 規則に指定できるアドレス、範囲、およびポートの数には、制限があります。There are limits to the number of addresses, ranges, and ports that you can specify in a rule. 詳細については、Azure の制限 に関する記事をご覧ください。For details, see Azure limits.

サービス タグService tags

サービス タグは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表します。A service tag represents a group of IP address prefixes from a given Azure service. これは、ネットワーク セキュリティ規則を頻繁に更新する煩わしさを最小限に抑えるのに役立ちます。It helps to minimize the complexity of frequent updates on network security rules.

詳細については、Azure サービス タグに関するページをご覧ください。For more information, see Azure service tags. ストレージ サービス タグを使用してネットワーク アクセスを制限する方法の例については、PaaS リソースへのネットワーク アクセスの制限に関する記事を参照してください。For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.

アプリケーション セキュリティ グループApplication security groups

アプリケーション セキュリティ グループを使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. 明示的な IP アドレスを手動でメンテナンスせずに、大きなセキュリティ ポリシーを再利用することができます。You can reuse your security policy at scale without manual maintenance of explicit IP addresses. 詳細については、「アプリケーション セキュリティ グループ」を参照してください。To learn more, see Application security groups.

Azure プラットフォームに関する考慮事項Azure platform considerations

  • ホスト ノードの仮想 IP:DHCP、DNS、IMDS、正常性の監視などの基本的なインフラストラクチャ サービスは、仮想化されたホストの IP アドレス 168.63.129.16 および 169.254.169.254 を通じて提供されます。Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. これらの IP アドレスは Microsoft に属し、この目的のためにすべてのリージョンで使われる唯一の仮想化 IP アドレスです。These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. 有効なセキュリティ ルールと有効なルートには、これらのプラットフォーム規則は含まれません。Effective security rules and effective routes will not include these platform rules. この基本的なインフラストラクチャ通信をオーバーライドするには、ネットワーク セキュリティ グループの規則に、次のサービス タグを使用してトラフィックを拒否するセキュリティ規則を作成します: AzurePlatformDNS、AzurePlatformIMDS、AzurePlatformLKM。To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. ネットワーク トラフィック フィルタリングの診断およびネットワーク ルーティングの診断方法について確認してください。Learn how to diagnose network traffic filtering and diagnose network routing.

  • ライセンス (キー管理サービス) :仮想マシンで実行されている Windows イメージのライセンスを取得する必要があります。Licensing (Key Management Service): Windows images running in virtual machines must be licensed. ライセンスを適用するために、そのような問い合わせを処理するキー管理サービスのホスト サーバーには要求が送信されます。To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. この要求は、ポート 1688 を通じて送信されます。The request is made outbound through port 1688. default route 0.0.0.0/0 構成を使用したデプロイに関しては、このプラットフォーム ルールは無効となります。For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • 負荷分散プール内の仮想マシン:適用されるソース ポートおよびアドレス範囲は、元のコンピューターからのもので、ロード バランサーではありません。Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. 宛先ポートとアドレス範囲は、ロード バランサーのものではなく、宛先コンピューターのものになります。The destination port and address range are for the destination computer, not the load balancer.

  • Azure のサービス インスタンス:HDInsight、Application Service Environments、および仮想マシン スケール セットなどの Azure サービスのインスタンスが仮想ネットワークのサブネットにデプロイされています。Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. 仮想ネットワークにデプロイできるサービスの詳細な一覧については、Azure サービスの仮想ネットワークに関するページをご覧ください。For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. リソースがデプロイされているサブネットにネットワーク セキュリティ グループを適用する前に、各サービスのポート要件を確認してください。Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. サービスに必要なポートを拒否すると、サービスは正しく機能しません。If you deny ports required by the service, the service doesn't function properly.

  • アウトバウンド メールの送信:Azure Virtual Machines からのメール送信に関して、Microsoft では、Authenticated SMTP リレー サービスの利用を推奨しています (通常は、TCP ポート 587 で接続されますが、他のポートが使用されることもあります)。Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP リレー サービスは、送信者評価に特化することで、サード パーティのメール プロバイダーによってメッセージが拒否される可能性を最小限に抑えます。SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. そのような SMTP リレー サービスとしては、Exchange Online Protection や SendGrid が代表的ですが、他にもさまざまなリレー サービスが存在します。Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Azure に限らず、またサブスクリプションの種類に限らず、SMTP リレー サービスは広く利用されています。Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    2017 年 11 月 15 日より前に Azure サブスクリプションを作成した場合、SMTP リレー サービスが利用できるほか、TCP ポート 25 を使用して直接メールを送信することもできます。If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. 2017 年 11 月 15 日以降に Azure サブスクリプションを作成した場合、ポート 25 を使用して直接メールを送信することはできません。If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. ポート 25 を使用したアウトバウンド通信の動作は、ご利用のサブスクリプションの種類によって次のように異なります。The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • マイクロソフト エンタープライズ契約:送信ポート 25 の通信が許可されます。Enterprise Agreement: Outbound port 25 communication is allowed. 仮想マシンから外部のメール プロバイダーに直接アウトバウンド メールを送信できます。Azure プラットフォームによる制限はありません。You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • 従量課金制:アウトバウンド ポート 25 の通信が、送信元となるすべてのリソースについてブロックされます。Pay-as-you-go: Outbound port 25 communication is blocked from all resources. 外部のメール プロバイダーに仮想マシンから直接 (認証済み SMTP リレーを介さずに) メールを送信する必要がある場合は、申請によって制限を解除することができます。If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. 申請は Microsoft の裁量にて審査および承認されます。また、申請が許可されるのは、詐欺行為防止チェックの実施後となります。Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. 申請を行うには、 [Technical](技術)[Virtual Network Connectivity](仮想ネットワーク接続)[Cannot send e-mail (SMTP/Port 25)](メールを送信できない (SMTP/ポート 25)) を問題の種類とするサポート ケースを開いてください。To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). ご利用のサブスクリプションから Authenticated SMTP リレー経由ではなく直接メール プロバイダーにメールを送信することが必要である理由をサポート ケースに詳しく記してください。In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. ご利用のサブスクリプションが免除された場合に、ポート 25 を使用したアウトバウンド通信が許可されるのは、その免除日以降に作成された仮想マシンだけです。If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN、Azure Pass、Azure イン オープン プラン、Education、BizSpark、および無料試用版:アウトバウンド ポート 25 の通信が、送信元となるすべてのリソースについてブロックされます。MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. 制限解除を申請することはできません。申請は許可されません。No requests to remove the restriction can be made, because requests are not granted. 仮想マシンからメールを送信する必要がある場合は、SMTP リレー サービスを使用する必要があります。If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • クラウド サービス プロバイダー:クラウド サービス プロバイダーを介して Azure リソースを使用しているお客様は、クラウド サービス プロバイダーを相手方とするサポート ケースを作成できます。また、安全な SMTP リレーが利用できない場合は、お客様の代わりにプロバイダーがブロック解除のケースを作成するよう要求できます。Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Azure でポート 25 経由のメール送信が許可された場合に、メール プロバイダーが、ご利用の仮想マシンからのインバウンド メールを受け入れるかどうかについては、Microsoft では保証できません。If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. ご利用の仮想マシンからのメールが特定のプロバイダーによって拒否される場合は、そのプロバイダーに直接働きかけて、メッセージ配信の問題やスパム フィルターの問題を解決するか、Authenticated SMTP リレー サービスを使用します。If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

次のステップNext steps