Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

kongou-ae
September 25, 2021

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

kongou-ae

September 25, 2021
Tweet

More Decks by kongou-ae

Other Decks in Technology

Transcript

  1. Windows Update を NSG で許可する
    #jazug 2021/09/25

    View full-size slide

  2. 自己紹介
    松本雄介
    • 三井情報株式会社
    • Azure と Azure Hybrid を担当
    • 提案から運用までの全フェーズを技術的に支援
    • IaaS と Network、Azure Stack Hub が主戦場。PaaS や M365 にも戦場拡大中
    • Azure Stack Hub 歴はそろそろ4年に
    • Microsoft MVP for Microsoft Azure(2019/05~)
    2

    View full-size slide

  3. 本日のセッションの目的
    NSG の AzureUpdateDelivery サービスタグ を紹介する
    • 旧 feedback.azure.com で熱望されていた機能
    • 2021年8月末にドキュメントに登場
    3

    View full-size slide

  4. Windows Update と NSG

    View full-size slide

  5. Windows Update と NSG
    相性が悪い
    • Windows Update:FQDN &ワイルドカードでの通信許可を要求する
    • NSG:IP アドレスでのみ許可できる
    5
    引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808-
    url?forum=jpsccmwsus

    View full-size slide

  6. Windows Update と NSG
    相性が悪い
    • Windows Update:FQDN &ワイルドカードでの通信許可を要求する
    • NSG:IP アドレスでのみ許可できる
    6
    引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808-
    url?forum=jpsccmwsus
    インターネット上の全 IP アドレスに対して HTTP と HTTPS を許可
    • 自前 NVA で FQDN 制御
    • 自前 Proxy で FQDN 制御
    or
    その結果・・・

    View full-size slide

  7. Windows Update と NSG
    2017年12月に UserVoice に要望が登場
    7
    引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network-
    security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

    View full-size slide

  8. Windows Update と NSG
    2018年9月に Azure Firewall が先に対応・・・
    • FQDN のリストを自動的にメンテしてくれる「FQDN タグ」機能が登場
    • Windows Update の FQDN タグを使うだけで Windows Update を許可できる
    • が、Azure Firewall は安くない・・・サーバ台数が少ない構成だと料金が目立つ
    8
    引用:https://docs.microsoft.com/ja-jp/azure/firewall/fqdn-tags

    View full-size slide

  9. Windows Update と NSG
    2020年11月、NSG による対応予定に一筋の光が
    9
    引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network-
    security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

    View full-size slide

  10. Windows Update と NSG
    10
    引用:https://github.com/MicrosoftDocs/azure-docs/commits/ed6e3c207701705742669bbf7ff01eb5b31e9070/articles/virtual-network/service-tags-overview.md
    そして、時は2021年8月24日
    • AzureUpdateDelivery サービスタグが公開
    • 1054名の悲願、ついに達成
    GitHub のコミットメッセージ

    View full-size slide

  11. AzureUpdateDelivery の使い方

    View full-size slide

  12. AzureUpdateDelivery と AzureFrontDoor.FirstParty を併用する
    • AzureUpdateDelivery:Windows Update メタデータサービスへのアクセス
    • AzureFrontDoor.FirstParty:ファイルのダウンロード
    • 「インターネットに HTTP・HTTPSを許可」と比べて、通信できる宛先を限定できる
    AzureUpdateDelivery の使い方
    12
    設定サンプル
    引用:https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview#available-service-tags

    View full-size slide

  13. AzureUpdateDelivery の使い方
    Azure Portal 以外で設定する
    13
    # 対象の NSG を取得
    $nsg = Get-AzNetworkSecurityGroup -Name stagtest -ResourceGroupName nsgtest
    # AzureUpdateDelivery への TCP/443 を追加
    $nsg | Add-AzNetworkSecurityRuleConfig -Name update -Description "AzureUpdateDelivery" `
    -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -SourceAddressPrefix "*" `
    -SourcePortRange * ` -DestinationAddressPrefix AzureUpdateDelivery -DestinationPortRange 443
    # AzureFrontDoor.FirstParty への TCP/80 を追加
    $nsg | Add-AzNetworkSecurityRuleConfig -Name updateDelivery -Description "AzureFrontDoor.FirstParty" `
    -Access Allow ` -Protocol Tcp -Direction Outbound -Priority 110 -SourceAddressPrefix "*" `
    -SourcePortRange * ` -DestinationAddressPrefix AzureFrontDoor.FirstParty -DestinationPortRange 80
    # 対象の NSG を更新
    $nsg | Set-AzNetworkSecurityGroup

    View full-size slide

  14. AzureUpdateDelivery の使い方
    動作結果
    14
    アップデートを確認できた アップデートを適用できた

    View full-size slide

  15. 注意点:「Windows Update だけを許可」ではない
    • AzureFrontDoor.FirstParty は CDN なので、AzureFrontDoor.FirstParty に含まれる IP アドレス
    は Windows Update 以外の他の Microsoft サービスでも利用されているはず
    • AzureFrontDoor.FirstParty への通信を許可=他の Microsoft サービスも使っている IP アドレス
    への通信も許可
    「Windows Update だけを許可したい」場合は、FQDN で通信を制御できる仕組みを利用する
    AzureUpdateDelivery の使い方
    15

    View full-size slide

  16. 振り返り

    View full-size slide

  17. ふりかえり
    NSG のサービスタグが Windows Update に対応した!
    • AzureUpdateDelivery への TCP/443 と AzureFrontDoor.FirstParty への TCP/80
    • 「Windows Update だけを許可」ではないが、従来の「Internet への HTTP・HTTPS を全許
    可」と比べて宛先を大幅に絞れる点がポイント
    • 2021年9月現在、ポータル以外で設定する必要あり
    17

    View full-size slide