AZ900-Architect#77-1
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある SaaS 企業が PCI-DSS / SOC 2 の認定取得を目指し、Azure 環境のセキュリティを包括的に強化します。要件: シークレットの一元管理、コンプライアンス スコアの継続評価 + 推奨実装、統合ログ分析 + 脅威検知 + 応答自動化。
解決策
Azure Key Vault でシークレット (API キー / 接続文字列 / 証明書) を一元保管し、アプリには Managed Identity 経由でアクセス権を付与する。
この解決策は目的を満たしますか?
解説
【判定: はい】の理由
Key Vault + Managed Identity の組み合わせは要件 1 のシークレット一元管理を最適に満たします。API キーや接続文字列、証明書を Key Vault に集約し、アプリは Managed Identity で認証することでコード ハードコードを排除でき、PCI-DSS 要件 3 や SOC 2 のセキュリティ基準にも適合します。
【「いいえ」が違う理由】
Premium SKU の HSM 保護 / 自動ローテーション / Soft Delete + Purge Protection / 監査ログにより、誤露出や誤削除リスクを根本から排除できます。これはクラウド ネイティブのシークレット管理の標準パターンで、目的を満たさないとする判定は誤りです。
Key Vault + Managed Identity の組み合わせは要件 1 のシークレット一元管理を最適に満たします。API キーや接続文字列、証明書を Key Vault に集約し、アプリは Managed Identity で認証することでコード ハードコードを排除でき、PCI-DSS 要件 3 や SOC 2 のセキュリティ基準にも適合します。
【「いいえ」が違う理由】
Premium SKU の HSM 保護 / 自動ローテーション / Soft Delete + Purge Protection / 監査ログにより、誤露出や誤削除リスクを根本から排除できます。これはクラウド ネイティブのシークレット管理の標準パターンで、目的を満たさないとする判定は誤りです。
コメント