Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

kongou-ae
September 25, 2021

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

kongou-ae

September 25, 2021
Tweet

More Decks by kongou-ae

Other Decks in Technology

Transcript

  1. 自己紹介 松本雄介 • 三井情報株式会社 • Azure と Azure Hybrid を担当

    • 提案から運用までの全フェーズを技術的に支援 • IaaS と Network、Azure Stack Hub が主戦場。PaaS や M365 にも戦場拡大中 • Azure Stack Hub 歴はそろそろ4年に • Microsoft MVP for Microsoft Azure(2019/05~) 2
  2. Windows Update と NSG 相性が悪い • Windows Update:FQDN &ワイルドカードでの通信許可を要求する •

    NSG:IP アドレスでのみ許可できる 5 引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus
  3. Windows Update と NSG 相性が悪い • Windows Update:FQDN &ワイルドカードでの通信許可を要求する •

    NSG:IP アドレスでのみ許可できる 6 引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus インターネット上の全 IP アドレスに対して HTTP と HTTPS を許可 • 自前 NVA で FQDN 制御 • 自前 Proxy で FQDN 制御 or その結果・・・
  4. Windows Update と NSG 2018年9月に Azure Firewall が先に対応・・・ • FQDN

    のリストを自動的にメンテしてくれる「FQDN タグ」機能が登場 • Windows Update の FQDN タグを使うだけで Windows Update を許可できる • が、Azure Firewall は安くない・・・サーバ台数が少ない構成だと料金が目立つ 8 引用:https://docs.microsoft.com/ja-jp/azure/firewall/fqdn-tags
  5. AzureUpdateDelivery と AzureFrontDoor.FirstParty を併用する • AzureUpdateDelivery:Windows Update メタデータサービスへのアクセス • AzureFrontDoor.FirstParty:ファイルのダウンロード

    • 「インターネットに HTTP・HTTPSを許可」と比べて、通信できる宛先を限定できる AzureUpdateDelivery の使い方 12 設定サンプル 引用:https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview#available-service-tags
  6. AzureUpdateDelivery の使い方 Azure Portal 以外で設定する 13 # 対象の NSG を取得

    $nsg = Get-AzNetworkSecurityGroup -Name stagtest -ResourceGroupName nsgtest # AzureUpdateDelivery への TCP/443 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name update -Description "AzureUpdateDelivery" ` -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureUpdateDelivery -DestinationPortRange 443 # AzureFrontDoor.FirstParty への TCP/80 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name updateDelivery -Description "AzureFrontDoor.FirstParty" ` -Access Allow ` -Protocol Tcp -Direction Outbound -Priority 110 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureFrontDoor.FirstParty -DestinationPortRange 80 # 対象の NSG を更新 $nsg | Set-AzNetworkSecurityGroup
  7. 注意点:「Windows Update だけを許可」ではない • AzureFrontDoor.FirstParty は CDN なので、AzureFrontDoor.FirstParty に含まれる IP

    アドレス は Windows Update 以外の他の Microsoft サービスでも利用されているはず • AzureFrontDoor.FirstParty への通信を許可=他の Microsoft サービスも使っている IP アドレス への通信も許可 「Windows Update だけを許可したい」場合は、FQDN で通信を制御できる仕組みを利用する AzureUpdateDelivery の使い方 15
  8. ふりかえり NSG のサービスタグが Windows Update に対応した! • AzureUpdateDelivery への TCP/443

    と AzureFrontDoor.FirstParty への TCP/80 • 「Windows Update だけを許可」ではないが、従来の「Internet への HTTP・HTTPS を全許 可」と比べて宛先を大幅に絞れる点がポイント • 2021年9月現在、ポータル以外で設定する必要あり 17