Azureネットワークセキュリティグループ(NSG)監視
Azureネットワークセキュリティグループ(NSG)は、仮想ネットワーク内のAzure
リソースとの間で送受信されるネットワークトラフィックをフィルタリングできるネットワークサービスです。
Site24x7と連携することで、Azureネットワークセキュリティグループの監視値にしきい値を設定し、重大な問題が発生した際にアラートを受信できます。カスタムセキュリティルールの合計数、サブネットの合計数、ネットワークインターフェースの合計数などの主要な監視項目に対して、ダッシュボードによる可視化とアラート機能が利用できます。
目次
事前準備
Azureネットワークセキュリティグループ監視を追加する際は、監視を新規で追加するか、既存のAzureサービスに追加します。Azureサービスの追加はこちらをご参照ください。
監視項目
Azureネットワークセキュリティグループ監視で監視できる項目は、以下の通りです。以下の内容は、ダッシュボードおよびアラートの内容にも表示されます。
| タブ | 項目名 | 説明 | 統計値 | 単位 |
|---|---|---|---|---|
| パフォーマンス | カスタムセキュリティルールの合計数 | ネットワークセキュリティグループにカスタムで設定されているセキュリティルールの合計数 | 合計値 | 個数 |
| サブネットの合計数 | ネットワークセキュリティグループに関連付けられているサブネットの合計数 | 合計値 | 個数 |
設定データ
このデータは、ネットワークセキュリティグループと、その関連リソースの設定に関する情報を提供します。[サマリ]タブにて確認できます。
| タブ | データ名 | 説明 |
|---|---|---|
| カスタムセキュリティルール | 名前 | セキュリティルールの名前 |
| 方向 | トラフィックの方向(送信もしくは受信) | |
| 優先度 | セキュリティルールの優先度 (数値が小さいほど優先度は高くなります) | |
| ポート | セキュリティルールが適用されるポートまたはポート範囲 | |
| プロトコル | セキュリティルールが適用されるネットワークプロトコル (TCP、UDP、ICMPなど) | |
| ソース | 送信元IPアドレスまたはCIDRブロック | |
| 宛先 | 宛先IPアドレスまたはCIDRブロック | |
| アクション | 実行するアクション (承認または否認) | |
| デフォルトセキュリティルール | 名前 | 既定のセキュリティ ルールの名前 |
| 方向 | トラフィックの方向 (受信または送信) | |
| 優先度 | セキュリティルールの優先度 (数値が小さいほど優先度は高くなります) | |
| ポート | セキュリティルールが適用されるポートまたはポート範囲 | |
| プロトコル | セキュリティルールが適用されるネットワークプロトコル (TCP、UDP、ICMPなど) | |
| ソース | 送信元IPアドレスまたはCIDRブロック | |
| 宛先 | 宛先IPアドレスまたはCIDRブロック | |
| アクション | 実行するアクション (承認または否認) | |
| サブネット | 仮想ネットワーク | サブネットが属している仮想ネットワーク |
| サブネット | ネットワークセキュリティグループに関連付けられているサブネット名 | |
| ネットワークインターフェース | ネットワークインターフェースの合計数 | ネットワークセキュリティグループに関連付けられているネットワークインターフェースの合計数 |
しきい値の設定
グローバル設定
- [管理]→[設定プロファイル]→[しきい値と可用性]に移動します。
- 右上の「しきい値プロファイルの追加」をクリックして、監視タイプに「Azureネットワークセキュリティグループ」を選択します。
以下の項目に対してしきい値を設定できます。
- カスタムセキュリティルールの合計数 - ルールがサブスクリプションの上限に近づいた際に通知を行うよう、ルールの合計数に対してしきい値を設定します。
- サブネットの合計数 - 関連付けられているサブネット数の予期しない変化を監視できます。
監視ごとの設定
- [Cloud]→[Azure]に移動し、「Azureネットワークセキュリティグループ」を選択します。
- しきい値を設定するリソースを選択し、ハンバーガーアイコン
をクリックします。
- [編集]を選択すると、「Azureネットワークセキュリティグループの編集」ページに遷移します。
- [しきい値と可用性]を選択して、監視項目ごとにしきい値を設定します。
属性レベルでIT自動化を設定することもできます。
IT自動化
Site24x7は、パフォーマンス低下の問題を自動で解決するためのIT自動化ツールを提供しています。これらのツールは手動の対応を待つのではなく、イベントに対してプロアクティブに反応します。
監視に対してIT自動化を設定する方法は、こちらをご確認ください。
設定ルール
設定ルールを使用すると、しきい値プロファイルや通知プロファイル、タグ、監視グループなどのパラメータを複数の監視に対して一括で設定できます。
設定ルールを追加する方法は、こちらをご確認ください。
依存関係ビュー
依存関係ビューでは、ネットワークセキュリティグループとAzureリソースの依存関係を視覚的に表示します。このビューは、ネットワークセキュリティ設計の潜在的な脆弱性や問題を特定するのに役立ちます。
このビューで表示される内容は以下の通りです。
- ネットワークセキュリティグループと仮想ネットワーク、およびサブネットとの接続関係
- ネットワークセキュリティグループとネットワークインターフェースの接続関係
- 仮想マシン、アプリケーションゲートウェイ、ロードバランサーなど、他のAzureリソースとの接続関係
- 定義されたルールに基づいたセキュリティルールのフローパターン
これらの可視化によって、ネットワークセキュリティ問題のトラブルシューティングや、より高い保護とコンプライアンスのためのセキュリティ設計の最適化を容易に行うことができます。