Azure Portalを使って仮想マシン(VM)をそのまま作成すると、外部からのRDPやSSHアクセスが許可された状態になります。
これはネットワークセキュリティグループ(NSG)の受信規則が、Windowsの場合はRDP(3389)、Linux系の場合はSSH(22)がAnyで許可された状態になる為です。
AzureのパブリッククラウドのグローバルIPに対しては、作成した瞬間から不正なアクセスが来ます。インターネットからのアクセスをすべて許可した状態で放置する事は非常に危険な状態になります。
今回は、実際にやってみて、メッセージが表示される意味や、VM作成作業中に接続許可IPを指定する方法を確認してみました。
なおネットワークセキュリティグループ(NSG)はAzureで接続許可や拒否設定を行うものになります。
1 .仮想マシン(VM)をそのまま作成した際の、ネットワークセキュリティグループ(NSG)設定を確認してみました。
今回は、にAzure PortalでWindowsの仮想マシン(VM)作成を作成する時にネットワークセキュリティグループに関する設定を確認します。
まず基本画面で受信ポートの規則という以下の項目が表示されます。デフォルトこの画面で3389のポートが許可されます。
次にネットワーク画面で、以下の項目がデフォルトで表示されます。
デフォルトはBasicを選択されてます。このままデフォルト設定のまま進んでみます。
この設定のまま仮想マシン(VM)を作成してみます。
作成後、ネットワークインターフェースの設定を確認してみました。
ネットワークインターフェースに対して、NSG(ネットワークセキュリティグループ)が作成されているのですが、受信規則として下記ルールが作成されていました。
AnyでRDP(3389)が受信が許可された状態になってます。RDPでどこからでもアクセスできる状態になっています。
デフォルトのまま進んでしまうと、このように非常に危険な状態になる事がわかりました。
2 .仮想マシン(VM)と共に作成される、ネットワークセキュリティグループ設定を変更してみる
次に、仮想マシン(VM)作成時のどこで設定するのかを確認してみました。
Azure Portalで仮想マシン(VM)作成時に表示されるメッセージの通りで、基本画面の受信ポートの設定では何もできません。
ネットワークの画面で行います。下記の通りNICネットワークセキュリティグループで詳細を選択します。
ネットワークセキュリティグループの構成で、新規作成をクリックします。
そうすると下記画面が表示されます。ここで受信規則をクリックします。
そうすると下記画面が表示されます。ソースでIPアドレスを選択しますと、ソースIPアドレスが表示されますので、自身がアクセスするIPアドレスを入力します。
IPアドレスや名前等を入力して保管しますと、特定のIPからのみアクセス可能なネットワークセキュリティグループ(NSG)が作成されます。
なお自身のIPアドレスは、下記サイト等で確認が可能です。(Proxy等をご利用の方は社内システム管理者さん等に確認下さい。)
https://www.cman.jp/network/support/go_access.cgi
3 .そのままにしておくとどうなるのか
自身の経験ですが、実際にそのままにしておくと、5分後位から秒で辞書攻撃的なアクセスが来ました。
検証環境だから、すぐ消すからとか言ってそのままにしている事を多くみかけますが、要件が無い限り、ログイン元のIPアドレスは制限するようにした方が良いかと思います。
使う時しか上げないとかって、絶対に忘れますから!!
※実際のシステムではサブネットや、すでに作成済みのネットワークセキュリティグループ(NSG)を使うケースが多いと思いますが注意しましょう。