難問応用
ある企業がAzure Virtual NetworkでNSGを使用してセキュリティを管理しています。サブネットレベルのNSGで「すべてのインバウンド通信を拒否する」ルール(優先度100)を設定し、その後NICレベルのNSGで「TCP 443をすべてのソースから許可」ルール(優先度50)を追加しました。この設定下で、外部からポート443へのアクセスを試みた場合の結果として最も正確なものはどれか。
A.NICレベルのNSGが優先度50で優先度100のサブネットルールより高いため、アクセスは許可される
✗ NSGレベル(サブネットvsNIC)の間では優先度値の大小関係は適用されません。トラフィックは『サブネットNSGを通過→NIC NSGを通過』の順で評価され、どちらでも拒否されると最終的に拒否されます。
B.サブネットレベルのNSGで拒否されているため、NICレベルで許可されていてもアクセスは拒否される← 正解
✓ 正解です。NSGの評価順序はサブネットレベル→NICレベルです。サブネットレベルで拒否されたトラフィックはNICレベルのNSGに到達せず、最終的に拒否されます。
C.NSGルールの優先度数値が小さいほど優先度が高いため、NICレベルの優先度50が適用されアクセスは許可される
✗ 優先度数値の大小関係はNSGの『ルール内』での評価に使われます。しかしサブネットとNICという『異なるNSGレベル』の間では優先度値を直接比較しません。
D.NSGの評価はサブネットレベル→NICレベルの順序で行われ、両方で許可されて初めて通信が許可される
✗ 評価順序は正しく述べていますが、『両方で許可』という条件は不正確です。サブネットレベルで拒否されれば、NICレベルで許可されていても最終的に拒否されます。
この問題のポイント
NSGの評価順序はサブネットレベル→NICレベルです。サブネットレベルで拒否されたトラフィックはNICレベルのNSGに到達せず、最終的に拒否されます。
「難問」の他の問題
ある管理者がVM・NIC・ディスクを含むリソースグループにReadOnlyロックを設定した。その後、このリソースグループ…ある企業がAzure App Serviceを使いWebアプリをPaaSでホストしている。「このサービスモデルにおいて、…ある企業がAzure Storageの冗長オプションを選択している。「プライマリリージョンが完全に停止した際も、Micr…ある企業がAzureの4種類の負荷分散サービスの違いを学習している。「ユーザーのDNSクエリを受け取り、最もパフォーマン…ある企業がAzureのサブスクリプション階層を設計している。「10のサブスクリプションすべてに同じAzure Polic…あるシステム管理者がAzureのリソースロックについて「OwnerロールがあればReadOnlyロックを設定している場合…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。