Azure VM(WindowsServer)を極力閉鎖環境にしたいという時に、必要最低限の通信のみ許可する必要があります。
特に検討が必要なのは以下2点
- WindowsUpdate
- Windows OSの認証
他にもあるかもしれませんが、個別要件は一旦除外します。
WindowsUpdate
Azure Firewall では、アプリケーション ルールの Destination Type を [FQDN タグ]
ターゲットを [WindowsUpdate] にして許可ルールを設定することで Windews Update関連の通信を許可することが可能。
<参考>
(抜粋)
———————————–
たとえば、Windows Update ネットワーク トラフィックがファイアウォールを通過するのを手動で許可するには、Microsoft のドキュメントに従って複数のアプリケーション規則を作成する必要があります。 FQDN タグを使用すると、Windows Updates タグを含むアプリケーション ルールを作成できるため、Microsoft Windows Update エンドポイントへのネットワーク トラフィックがファイアウォールを通過できるようになります。
—–
注意
アプリケーション ルールで FQDN タグを選択する場合は、[プロトコル:ポート] フィールドを [https] に設定する必要があります。
—–
Azure FW上での設定は、Basic SKUの時にはHTTPSしか選択できないが、
WindowsUpdateに必要なHTTP処理も含めて内部的に処理をするので、HTTP/80ポートの開放は不要。
Windows OS ライセンスアクティベーション
Windows VM のライセンス認証を実施している Azure KMS サーバーでは、
3 つの固定 IP アドレス (20.118.99.224 / 40.83.235.53 / 23.102.135.246) が利用され、
ポート番号も固定されているのでAzure FWの「ネットワークルール」で設定可能。
※Azure FWのBasic SKUはHTTP/S , MySQL以外のポート指定できないのでNSGを使う必要あり
■ネットワーク ルール
Protocols : TCP
Source Addresses : *
Destination Addresses : 20.118.99.224,40.83.235.53,23.102.135.246
Destination Ports : 1688
※ご参考資料: ソリューション
(抜粋)
——————–
Azure グローバル クラウドの KMS サーバーの最初の DNS 名は azkms.core.windows.net で、2 つの IP アドレスがあります。20.118.99.224 および 40.83.235.53。 Azure グローバル クラウドの KMS サーバーの 2 番目の DNS 名は kms.core.windows.net で、IP アドレスは 23.102.135.246 です。
——————–
コメント