ネットワークセキュリティグループ【NSG】Network Security Group
ネットワークセキュリティグループとは?
ルールは、送信元IPアドレス、送信先IPアドレス、ポート番号、プロトコル(TCPやUDPなど)、通信方向の組み合わせで定義される。各ルールには優先度を示す数値が割り当てられており、数値が小さいほど先に評価される。条件に一致した時点で許可または拒否が確定し、以降のルールは評価されない。既定では仮想ネットワーク内の通信やインターネットへの送信は許可され、インターネットからの受信は拒否されている。
設定の適用単位はサブネットと個々のネットワークインターフェースの二種類がある。サブネットに適用すればネットワーク内のすべてのリソースが対象となり、ネットワークインターフェースに適用すれば特定の仮想マシンのみを制御できる。両方に同時に適用することも可能で、その場合はサブネット側のルールが先に評価される。同一の設定を複数のリソースに共通適用することもできるため、仮想マシンの追加・削除に際しても一貫したアクセス制御を維持しやすい。
従来の物理的なデータセンターでは、専用ハードウェアをネットワーク境界に設置して通信を制御していた。クラウドコンピューティングの普及によりインフラ構成が動的に変化するようになると、ソフトウェアで管理できる本機能が標準的な手法として定着した。ルールの変更は管理ポータルやAPIを通じて即座に反映されるため、物理機器の設定変更と比べて作業負荷が低い。ログを監視サービスと連携させることで通信の許可・拒否の記録を収集・分析でき、設定ミスの検出や障害時の原因究明にも活用される。
共有ボタンをタップ