Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

A6eac912214bea58f22ef8d33137eca1?s=47 kongou-ae
September 25, 2021

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

A6eac912214bea58f22ef8d33137eca1?s=128

kongou-ae

September 25, 2021
Tweet

Transcript

  1. Windows Update を NSG で許可する #jazug 2021/09/25

  2. 自己紹介 松本雄介 • 三井情報株式会社 • Azure と Azure Hybrid を担当

    • 提案から運用までの全フェーズを技術的に支援 • IaaS と Network、Azure Stack Hub が主戦場。PaaS や M365 にも戦場拡大中 • Azure Stack Hub 歴はそろそろ4年に • Microsoft MVP for Microsoft Azure(2019/05~) 2
  3. 本日のセッションの目的 NSG の AzureUpdateDelivery サービスタグ を紹介する • 旧 feedback.azure.com で熱望されていた機能

    • 2021年8月末にドキュメントに登場 3
  4. Windows Update と NSG

  5. Windows Update と NSG 相性が悪い • Windows Update:FQDN &ワイルドカードでの通信許可を要求する •

    NSG:IP アドレスでのみ許可できる 5 引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus
  6. Windows Update と NSG 相性が悪い • Windows Update:FQDN &ワイルドカードでの通信許可を要求する •

    NSG:IP アドレスでのみ許可できる 6 引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus インターネット上の全 IP アドレスに対して HTTP と HTTPS を許可 • 自前 NVA で FQDN 制御 • 自前 Proxy で FQDN 制御 or その結果・・・
  7. Windows Update と NSG 2017年12月に UserVoice に要望が登場 7 引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network- security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

  8. Windows Update と NSG 2018年9月に Azure Firewall が先に対応・・・ • FQDN

    のリストを自動的にメンテしてくれる「FQDN タグ」機能が登場 • Windows Update の FQDN タグを使うだけで Windows Update を許可できる • が、Azure Firewall は安くない・・・サーバ台数が少ない構成だと料金が目立つ 8 引用:https://docs.microsoft.com/ja-jp/azure/firewall/fqdn-tags
  9. Windows Update と NSG 2020年11月、NSG による対応予定に一筋の光が 9 引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network- security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

  10. Windows Update と NSG 10 引用:https://github.com/MicrosoftDocs/azure-docs/commits/ed6e3c207701705742669bbf7ff01eb5b31e9070/articles/virtual-network/service-tags-overview.md そして、時は2021年8月24日 • AzureUpdateDelivery サービスタグが公開

    • 1054名の悲願、ついに達成 GitHub のコミットメッセージ
  11. AzureUpdateDelivery の使い方

  12. AzureUpdateDelivery と AzureFrontDoor.FirstParty を併用する • AzureUpdateDelivery:Windows Update メタデータサービスへのアクセス • AzureFrontDoor.FirstParty:ファイルのダウンロード

    • 「インターネットに HTTP・HTTPSを許可」と比べて、通信できる宛先を限定できる AzureUpdateDelivery の使い方 12 設定サンプル 引用:https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview#available-service-tags
  13. AzureUpdateDelivery の使い方 Azure Portal 以外で設定する 13 # 対象の NSG を取得

    $nsg = Get-AzNetworkSecurityGroup -Name stagtest -ResourceGroupName nsgtest # AzureUpdateDelivery への TCP/443 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name update -Description "AzureUpdateDelivery" ` -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureUpdateDelivery -DestinationPortRange 443 # AzureFrontDoor.FirstParty への TCP/80 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name updateDelivery -Description "AzureFrontDoor.FirstParty" ` -Access Allow ` -Protocol Tcp -Direction Outbound -Priority 110 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureFrontDoor.FirstParty -DestinationPortRange 80 # 対象の NSG を更新 $nsg | Set-AzNetworkSecurityGroup
  14. AzureUpdateDelivery の使い方 動作結果 14 アップデートを確認できた アップデートを適用できた

  15. 注意点:「Windows Update だけを許可」ではない • AzureFrontDoor.FirstParty は CDN なので、AzureFrontDoor.FirstParty に含まれる IP

    アドレス は Windows Update 以外の他の Microsoft サービスでも利用されているはず • AzureFrontDoor.FirstParty への通信を許可=他の Microsoft サービスも使っている IP アドレス への通信も許可 「Windows Update だけを許可したい」場合は、FQDN で通信を制御できる仕組みを利用する AzureUpdateDelivery の使い方 15
  16. 振り返り

  17. ふりかえり NSG のサービスタグが Windows Update に対応した! • AzureUpdateDelivery への TCP/443

    と AzureFrontDoor.FirstParty への TCP/80 • 「Windows Update だけを許可」ではないが、従来の「Internet への HTTP・HTTPS を全許 可」と比べて宛先を大幅に絞れる点がポイント • 2021年9月現在、ポータル以外で設定する必要あり 17