WEB問題集
Azure Firewall Premium SKU で Standard より追加される機能をすべて選んでください (3 つ)。
解説
【正解: A / B / C】の理由
Azure Firewall Premium は Standard の機能に加えて、TLS Inspection (HTTPS 復号検査)、IDPS (シグネチャベース侵入検知防御)、URL Filtering (FQDN を超えた URL パスフィルタ) という 3 つの高度な検査機能を提供します。これにより、暗号化トラフィック内のマルウェアや高度な攻撃パターンの検出が可能となります。
【他選択肢が違う理由】
- D: SNAT は Standard / Premium 両方で動作する基本機能です。
- E: Network Rules も Standard / Premium 両方で利用可能です。
【参考】
各 Azure セキュリティ機能を、対応するレイヤにマッチさせてください。
- NSG / ASG
- WAF (App Gateway / Front Door)
- DDoS Protection (Standard)
- Azure Bastion
解説
【正しいマッチング完全版】
※ NSG は L3-L4 制御、WAF は L7 専用、DDoS Protection は L3-L7 統合の攻撃緩和、Bastion は管理アクセスという責務分担を覚えると、セキュリティ ツールの選定が正確になります。
- NSG / ASG → L3-L4 (IP / ポート)
- WAF (App Gateway / Front Door) → L7 (HTTP / HTTPS)
- DDoS Protection (Standard) → グローバル (L3-L7 統合)
- Azure Bastion → 管理アクセス
【正解マッチング】
| 機能 | 対応 |
|---|---|
| NSG / ASG | L3-L4 (IP / ポート) |
| WAF | L7 (HTTP / HTTPS) |
| DDoS Protection | グローバル (L3-L7 統合) |
| Azure Bastion | 管理アクセス |
【参考】
【シナリオ】
あなたの会社は Hub-Spoke ネットワーク アーキテクチャで、複数の Spoke VNet からの Outbound 通信をすべて中央で検査する設計を進めています。要件: Outbound を FQDN ベースでフィルタ、TLS 復号して内容検査 (Premium 機能)、ログをすべて Log Analytics に集約。
【ステートメント】
Azure Firewall Premium SKU を Hub VNet にデプロイし、Application Rule で FQDN フィルタ + TLS Inspection を構成するのが標準解である。
解説
【正解: はい】の理由
Azure Firewall Premium SKU は FQDN ベースの Application Rule + TLS Inspection + IDPS を統合提供する Microsoft マネージド サービスで、本シナリオの要件 (FQDN フィルタ + TLS 復号 + ログ集約) をすべて単一のサービスで実現できます。そのため、Hub VNet 中央配置 + Premium SKU が標準解となります。
【不正解の選択肢の場合】
「いいえ」と判定すると別の構成が必要となりますが、Azure Firewall Premium は本要件の標準ソリューションです。そのため、本構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Firewall Premium SKU を Hub VNet にデプロイし、Application Rule で FQDN… | はい |
| 問2 | 各 Spoke VNet で UDR を構成し、0.0.0.0/0 の Next Hop を Azure Firewall の Priv… | はい |
| 問3 | Azure Firewall Standard SKU でも TLS Inspection (HTTPS 復号) が利用できる。 | いいえ |
【参考】
【シナリオ】
あなたの会社は Hub-Spoke ネットワーク アーキテクチャで、複数の Spoke VNet からの Outbound 通信をすべて中央で検査する設計を進めています。要件: Outbound を FQDN ベースでフィルタ、TLS 復号して内容検査 (Premium 機能)、ログをすべて Log Analytics に集約。
【ステートメント】
各 Spoke VNet で UDR を構成し、0.0.0.0/0 の Next Hop を Azure Firewall の Private IP に向ける必要がある。
解説
【正解: はい】の理由
Hub-Spoke で全 Spoke の Outbound を Firewall 経由化するには、各 Spoke サブネットの Route Table で 0.0.0.0/0 → Next Hop = Virtual Appliance、IP = Firewall Private IP の UDR を構成する必要があります。これにより、Spoke からのすべてのトラフィックが Hub Firewall を経由する設計が完成します。
【不正解の選択肢の場合】
「いいえ」と判定すると UDR が不要となりますが、UDR なしでは Spoke が既定の System Route で直接 Internet に出てしまいます。そのため、UDR 構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Firewall Premium SKU を Hub VNet にデプロイし、Application Rule で FQDN… | はい |
| 問2 | 各 Spoke VNet で UDR を構成し、0.0.0.0/0 の Next Hop を Azure Firewall の Priv… | はい |
| 問3 | Azure Firewall Standard SKU でも TLS Inspection (HTTPS 復号) が利用できる。 | いいえ |
【参考】
【シナリオ】
あなたの会社は Hub-Spoke ネットワーク アーキテクチャで、複数の Spoke VNet からの Outbound 通信をすべて中央で検査する設計を進めています。要件: Outbound を FQDN ベースでフィルタ、TLS 復号して内容検査 (Premium 機能)、ログをすべて Log Analytics に集約。
【ステートメント】
Azure Firewall Standard SKU でも TLS Inspection (HTTPS 復号) が利用できる。
解説
【正解: いいえ】の理由
TLS Inspection は Azure Firewall Premium SKU 限定の機能で、Standard SKU では HTTPS トラフィックを復号せずに通過させるため、暗号化マルウェアの検出ができません。本シナリオでは TLS 復号要件があるため、Premium SKU の選定が必須となります。
【不正解の選択肢の場合】
「はい」と判定すると Standard で TLS Inspection が可能となりますが、これは Premium 限定機能です。そのため、Premium SKU 選定が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Firewall Premium SKU を Hub VNet にデプロイし、Application Rule で FQDN… | はい |
| 問2 | 各 Spoke VNet で UDR を構成し、0.0.0.0/0 の Next Hop を Azure Firewall の Priv… | はい |
| 問3 | Azure Firewall Standard SKU でも TLS Inspection (HTTPS 復号) が利用できる。 | いいえ |