ネットワーク セキュリティ グループ(NSG)は、Azure 仮想ネットワーク内のトラフィックを 5 タプル(送信元/宛先の IP・ポート・プロトコル)でフィルターする基本的なセキュリティ機能です。しかし、ルールの送信元や宛先を IP アドレスで直接指定すると、VM の追加や IP 変更のたびにルールの書き換えが必要になり、規模が大きくなるほど運用が破綻しやすくなります。
そこで役立つのがアプリケーション セキュリティ グループ(ASG)です。ASG は「web 層」「db 層」といった役割ごとに VM の NIC をグループ化し、NSG ルールの送信元・宛先として IP アドレスの代わりに指定できます。VM を ASG に所属させるだけでルールが自動的に適用されるため、IP 設計とセキュリティ ポリシーを分離できます。これは AZ-500 と AZ-700 の両方で問われる重要な設計パターンです。
このラボでは、2 つのサブネットを持つ仮想ネットワーク上に web 層と db 層の VM を 1 台ずつ配置し、「web 層から db 層へは TCP 80 のみ許可し、それ以外の VNet 内通信はすべて拒否する」という多層ネットワーク制御を ASG ベースの NSG ルールで構成します。最後に Run Command を使った疎通テストで、許可された通信が通り、それ以外が遮断されることを実際に確認します。
詳細な手順は、ラボ開始後に画面内のガイドとして表示されます。