ネットワーク応用
ある企業がAzure Firewall配下のVNet内に複数のWebサーバーをデプロイしています。セキュリティ要件により、Webサーバーは「特定のオンプレミスIPアドレスブロック(10.0.0.0/8)からのインバウンドHTTP/HTTPSトラフィックのみ受け入れ」、「すべてのアウトバウンドはFirewall経由で外部ドメイン許可リスト経由のみ」とする必要があります。この構成で実装した場合、期待される動作は何ですか。
A.Network Security Group(NSG)のみで両要件を実装でき、Firewallルールは不要になる
✗ NSGはステートフルファイアウォールですがFQDNベースのアウトバウンドフィルタリング機能がありません。ドメイン許可リスト制御にはFirewallが必須です。
B.NSGでインバウンド許可ルールを設定し、Azure Firewallでアウトバウンドドメインフィルタリングを実装する← 正解
✓ 正解です。NSGでインバウンド(IP範囲ベース)を制御し、Firewallのアプリケーションルールでアウトバウンドドメインフィルタリングを実装するのが標準構成です。
C.Azure Firewallでインバウンド・アウトバウンド両方を一元管理し、NSGは削除する
✗ Azure Firewallはネットワーク層のサービスであり、NSGと異なる役割です。両者は補完的に機能し、NSGの削除は推奨されません。
D.オンプレミス側のルーターでインバウンドを制限し、Azure側ではアウトバウンドのみ制御する
✗ オンプレミス側の設定のみではAzure環境内のセキュリティを保証できません。Azure側でも防御層を実装する必要があります。
この問題のポイント
NSGでインバウンド(IP範囲ベース)を制御し、Firewallのアプリケーションルールでアウトバウンドドメインフィルタリングを実装するのが標準構成です。
「ネットワーク」の他の問題
ある企業がAzure上に仮想マシンを複数台デプロイしている。VM間の通信と、インターネットへのアクセスを論理的に分離した…あるシステム管理者が、AzureのVNet内にあるWebサーバー用サブネットとDBサーバー用サブネットの間で、特定のポー…ある企業が本社オフィスからAzureのVNetに常時接続したい。本社には専用の物理ルーター(VPNデバイス)が設置されて…ある大企業が、AzureとオンプレミスデータセンターをSLAで保証された低遅延・高帯域幅の専用接続で結びたい。インターネ…ある企業のセキュリティ担当者が「複数のVNetと複数のサブスクリプションにまたがるすべてのインバウンド・アウトバウンドト…ある企業がAzure Load Balancer、Azure Application Gateway、Azure Tra…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。