ネットワーク セキュリティ グループの有効な規則を決定する

各ネットワーク セキュリティ グループと、その定義されたセキュリティ規則は個別に評価されます。 Azure は、構成内の各仮想マシンに対して定義されている各規則の条件を処理します。

• インバウンド トラフィックの場合、Azure はまず、関連付けられているサブネットの、その次に関連付けられているネットワーク インターフェイスの、ネットワーク セキュリティ グループのセキュリティ規則を処理します。
• アウトバウンド トラフィックでは、プロセスが逆になります。 Azure はまず、関連付けられているネットワーク インターフェイスの、その次に関連付けられているサブネットの、ネットワーク セキュリティ グループのセキュリティ規則を評価します。
• インバウンドとアウトバウンドの両方の評価プロセスで、Azure はサブネット内トラフィックに規則がどのように適用されているかも確認します。 サブネット内トラフィックは、同じサブネット内の仮想マシンを指します。

Azure が最終的に仮想マシンに定義されたセキュリティ規則をどのように適用するかによって、規則の全体的な "有効性" が決まります。

ネットワーク セキュリティ グループの評価

サブネットとネットワーク インターフェイスの両方にネットワーク セキュリティ グループを適用すると、各ネットワーク セキュリティ グループが個別に評価されます。 受信規則と送信規則の両方が、優先順位と処理順序に基づいて考慮されます。

有効な規則を作成するときに考慮すべきこと

仮想ネットワーク内のマシンでの有効なセキュリティ規則の作成に関する、次の考慮事項を確認してください。

• 全トラフィックの許可を考慮してください。 仮想マシンをサブネット内に配置したり、ネットワーク インターフェイスを利用したりする場合は、サブネットまたは NIC をネットワーク セキュリティ グループに関連付ける必要はありません。 この方法では、既定の Azure セキュリティ規則に従って、サブネットまたは NIC を介するすべてのネットワーク トラフィックが許可されます。 特定のレベルでリソースへのトラフィックを制御することに関心がない場合は、そのレベルのリソースをネットワーク セキュリティ グループに関連付けないでください。

• 許可規則の重要性を考慮してください。 ネットワーク セキュリティ グループを作成するときは、トラフィックを確実に通過させるために、グループ内のサブネットとネットワーク インターフェイスの両方に許可規則を定義する必要があります。 ネットワーク セキュリティ グループにサブネットまたは NIC がある場合は、各レベルで許可規則を定義する必要があります。 それ以外の場合、許可規則の定義を提供しないレベルではトラフィックが拒否されます。

• サブネット内トラフィックを考慮してください。 サブネットに関連付けられているネットワーク セキュリティ グループのセキュリティ規則は、サブネット内のすべての仮想マシン間のトラフィックに影響する可能性があります。 サブネット内トラフィックを禁止するには、ネットワーク セキュリティ グループに規則を定義して、インバウンドとアウトバウンドのすべてのトラフィックを拒否します。 この規則により、サブネット内のすべての仮想マシンが相互に通信できなくなります。

• 規則の優先順位を考慮してください。 ネットワーク セキュリティ グループのセキュリティ規則は、優先順位に従って処理されます。 特定のセキュリティ規則が常に処理されるようにするには、可能な限り低い優先度の値を規則に割り当てます。 優先順位の番号付けには余裕 (100、200、300 など) を残しておくことをお勧めします。 番号付けに余裕を残しておくことで、既存の規則を編集せずに新しい規則を追加できます。

有効なセキュリティ規則を表示する

複数のネットワーク セキュリティ グループがあり、どのセキュリティ規則が適用されているのかがわからない場合は、Azure portal で [有効なセキュリティ規則] リンクを使用できます。 リンクを使用して、マシン、サブネット、およびネットワーク インターフェイスに適用されているセキュリティ規則を確認できます。