Windows Update を NSG で許可する #jazug 2021/09/25

自己紹介 松本雄介 • 三井情報株式会社 • Azure と Azure Hybrid を担当 • 提案から運用までの全フェーズを技術的に支援 • IaaS と Network、Azure Stack Hub が主戦場。PaaS や M365 にも戦場拡大中 • Azure Stack Hub 歴はそろそろ4年に • Microsoft MVP for Microsoft Azure（2019/05~） 2

本日のセッションの目的 NSG の AzureUpdateDelivery サービスタグ を紹介する • 旧 feedback.azure.com で熱望されていた機能 • 2021年8月末にドキュメントに登場 3

Windows Update と NSG

Windows Update と NSG 相性が悪い • Windows Update：FQDN ＆ワイルドカードでの通信許可を要求する • NSG：IP アドレスでのみ許可できる 5 引用：https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus

Windows Update と NSG 相性が悪い • Windows Update：FQDN ＆ワイルドカードでの通信許可を要求する • NSG：IP アドレスでのみ許可できる 6 引用：https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus インターネット上の全 IP アドレスに対して HTTP と HTTPS を許可 • 自前 NVA で FQDN 制御 • 自前 Proxy で FQDN 制御 or その結果・・・

Windows Update と NSG 2017年12月に UserVoice に要望が登場 7 引用：https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network- security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

Windows Update と NSG 2018年9月に Azure Firewall が先に対応・・・ • FQDN のリストを自動的にメンテしてくれる「FQDN タグ」機能が登場 • Windows Update の FQDN タグを使うだけで Windows Update を許可できる • が、Azure Firewall は安くない・・・サーバ台数が少ない構成だと料金が目立つ 8 引用：https://docs.microsoft.com/ja-jp/azure/firewall/fqdn-tags

Windows Update と NSG 2020年11月、NSG による対応予定に一筋の光が 9 引用：https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network- security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

Windows Update と NSG 10 引用：https://github.com/MicrosoftDocs/azure-docs/commits/ed6e3c207701705742669bbf7ff01eb5b31e9070/articles/virtual-network/service-tags-overview.md そして、時は2021年8月24日 • AzureUpdateDelivery サービスタグが公開 • 1054名の悲願、ついに達成 GitHub のコミットメッセージ

AzureUpdateDelivery の使い方

AzureUpdateDelivery と AzureFrontDoor.FirstParty を併用する • AzureUpdateDelivery：Windows Update メタデータサービスへのアクセス • AzureFrontDoor.FirstParty：ファイルのダウンロード • 「インターネットに HTTP・HTTPSを許可」と比べて、通信できる宛先を限定できる AzureUpdateDelivery の使い方 12 設定サンプル 引用：https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview#available-service-tags

AzureUpdateDelivery の使い方 Azure Portal 以外で設定する 13 # 対象の NSG を取得 $nsg = Get-AzNetworkSecurityGroup -Name stagtest -ResourceGroupName nsgtest # AzureUpdateDelivery への TCP/443 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name update -Description "AzureUpdateDelivery" ` -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureUpdateDelivery -DestinationPortRange 443 # AzureFrontDoor.FirstParty への TCP/80 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name updateDelivery -Description "AzureFrontDoor.FirstParty" ` -Access Allow ` -Protocol Tcp -Direction Outbound -Priority 110 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureFrontDoor.FirstParty -DestinationPortRange 80 # 対象の NSG を更新 $nsg | Set-AzNetworkSecurityGroup

AzureUpdateDelivery の使い方 動作結果 14 アップデートを確認できた アップデートを適用できた

注意点：「Windows Update だけを許可」ではない • AzureFrontDoor.FirstParty は CDN なので、AzureFrontDoor.FirstParty に含まれる IP アドレス は Windows Update 以外の他の Microsoft サービスでも利用されているはず • AzureFrontDoor.FirstParty への通信を許可＝他の Microsoft サービスも使っている IP アドレス への通信も許可 「Windows Update だけを許可したい」場合は、FQDN で通信を制御できる仕組みを利用する AzureUpdateDelivery の使い方 15

振り返り

ふりかえり NSG のサービスタグが Windows Update に対応した！ • AzureUpdateDelivery への TCP/443 と AzureFrontDoor.FirstParty への TCP/80 • 「Windows Update だけを許可」ではないが、従来の「Internet への HTTP・HTTPS を全許 可」と比べて宛先を大幅に絞れる点がポイント • 2021年9月現在、ポータル以外で設定する必要あり 17