ネットワーク応用
あるシステム管理者が、Azure上のVNet内にあるVM-Aから、同じVNet内のVM-BへのアウトバウンドHTTPS通信(ポート443)が失敗していることを発見しました。VM-AのNSGではすべてのトラフィックを許可(*)に設定してあります。ただし、VM-Aには「ユーザー定義ルート(UDR)」が適用されており、0.0.0.0/0のトラフィックをNetwork Virtual Appliance(NVA)経由で送信する設定になっています。この状況で最も可能性の高い原因は何ですか。
A.VM-BのNSGがインバウンド443を制限している
✗ 問題文でVM-AのNSGが全許可に設定されており、VM-Bのインバウンド制限があればそれが原因ですが、UDR経由ルーティングが指定される理由としては弱いです。
B.NVAがVM-BのIPアドレスへのトラフィックをフィルタリングまたはドロップしている← 正解
✓ 正解です。UDRで0.0.0.0/0がNVA経由に設定されると、VM間通信もNVAを通ります。NVAが443をフィルタリングしていれば通信失敗となります。
C.Azure DDoS Standard保護がVM間通信をブロックしている
✗ DDoS標準保護は外部からの攻撃を主に対象とし、同一VNet内の通常トラフィックは保護の対象外です。
D.Azureプラットフォーム側で同一VNet内通信が自動的に暗号化され、HTTP(S)が失敗する
✗ Azure仮想ネットワーク内の通信は自動暗号化されず、プロトコルに依存します。この説明は技術的に誤りです。
この問題のポイント
UDRで0.0.0.0/0がNVA経由に設定されると、VM間通信もNVAを通ります。NVAが443をフィルタリングしていれば通信失敗となります。
「ネットワーク」の他の問題
ある企業がAzure上に仮想マシンを複数台デプロイしている。VM間の通信と、インターネットへのアクセスを論理的に分離した…あるシステム管理者が、AzureのVNet内にあるWebサーバー用サブネットとDBサーバー用サブネットの間で、特定のポー…ある企業が本社オフィスからAzureのVNetに常時接続したい。本社には専用の物理ルーター(VPNデバイス)が設置されて…ある大企業が、AzureとオンプレミスデータセンターをSLAで保証された低遅延・高帯域幅の専用接続で結びたい。インターネ…ある企業のセキュリティ担当者が「複数のVNetと複数のサブスクリプションにまたがるすべてのインバウンド・アウトバウンドト…ある企業がAzure Load Balancer、Azure Application Gateway、Azure Tra…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。