WEB問題集
概要
ADatum Corporation はコンサルティング会社で、本社はモントリオール、支社はシアトルとニューヨークにあります。
既存環境 - Azure 環境
ADatum は 3 つのリソース グループ (RG1、RG2、RG3) を含む Azure サブスクリプションを持っています。
サブスクリプションには次の表に示すストレージ アカウントがあります。
| 名前 | 種類 | ロケーション | 階層型名前空間 | コンテナー | ファイル共有 |
|---|---|---|---|---|---|
| storage1 | StorageV2 | West US | はい | cont1 | share1 |
| storage2 | StorageV2 | West US | いいえ | cont2 | share2 |
サブスクリプションには次の表に示す仮想マシンがあります。
| 名前 | サイズ | オペレーティング システム | 説明 |
|---|---|---|---|
| VM1 | A | Red Hat Enterprise Linux (RHEL) | エフェメラル OS ディスクを使用 |
| VM2 | D | Windows Server 2022 | ベーシック ボリュームを持つ |
| VM3 | B | Red Hat Enterprise Linux (RHEL) | 標準 SSD を使用 |
| VM4 | M | Windows Server 2022 | Write Accelerator ディスクを使用 |
| VM5 | E | Windows Server 2022 | ダイナミック ボリュームを持つ |
サブスクリプションの Azure コンテナー レジストリには次のイメージがあります。
| 名前 | オペレーティング システム |
|---|---|
| Image1 | Windows Server |
| Image2 | Linux |
サブスクリプションには次の表のリソースがあります。
| 名前 | 説明 | リソース グループ |
|---|---|---|
| Workspace1 | Log Analytics ワークスペース | RG1 |
| WebApp1 | Azure App Service Web アプリ | RG1 |
| VNet1 | 仮想ネットワーク | RG2 |
| zone1.com | Azure Private DNS ゾーン | RG3 |
Azure Key Vault
サブスクリプションには Vault1 という Azure Key Vault があります。Vault1 には次の表に示す証明書があります。
| 名前 | コンテンツ タイプ | キー タイプ | キー サイズ |
|---|---|---|---|
| Cert1 | PKCS#12 | RSA | 2048 |
| Cert2 | PKCS#12 | RSA | 4096 |
| Cert3 | PEM | RSA | 2048 |
| Cert4 | PEM | RSA | 4096 |
Vault1 には次の表に示すキーがあります。
| 名前 | タイプ | 説明 |
|---|---|---|
| Key1 | RSA | キー サイズは 4096 |
| Key2 | EC | 楕円曲線名は P-256 に設定 |
Microsoft Entra 環境
ADatum は Azure サブスクリプションにリンクされた adatum.com という Microsoft Entra テナントを持ち、次の表に示すユーザーがいます。
| 名前 | Microsoft Entra ロール | Azure ロール |
|---|---|---|
| Admin1 | グローバル管理者 | なし |
| Admin2 | 属性定義管理者 (Attribute Definition Administrator) | なし |
| Admin3 | 属性割り当て管理者 (Attribute Assignment Administrator) | なし |
| User1 | なし | RG2 と RG3 の Reader |
テナントには次の表に示すグループがあります。
| 名前 | タイプ |
|---|---|
| Group1 | セキュリティ グループ |
| Group2 | Microsoft 365 グループ |
adatum.com テナントには Attribute1 というカスタム セキュリティ属性があります。
計画された変更
ADatum は以下の変更を実装する予定です:
- VM2 と VM4 からイベント ID 4648 のシステム イベントのみを収集する DCR1 というデータ収集ルール (DCR) を構成する
- storage1 に cont2 という新しいコンテナーを作成し、以下のアクセス ポリシーを設定: Stored1、Stored2、Stored3 という 3 つの保存アクセス ポリシー、およびイミュータブル BLOB ストレージ用のリーガル ホールド
- 可能な場合、ディレクトリを使用してストレージ アカウントのコンテンツを整理する
- User1 に VNet1 への Zone1 のリンクに必要な権限を付与する
- サポートされる adatum.com リソースに Attribute1 を割り当てる
- storage2 で Scope1 という暗号化スコープを作成する
- Image1 または Image2 を使用して新しいコンテナーを展開する
技術的要件
ADatum は次の技術的要件を満たす必要があります:
- WebApp1 に TLS を使用する
- 最小特権の原則に従う
- 必要なスコープでのみ権限を付与する
- Scope1 を使用してストレージ サービスを暗号化することを保証する
- cont1 と share1 を可能な限り頻繁に Azure Backup でバックアップする
- 可能な場合、仮想マシンの暗号化に Azure Disk Encryption とキー暗号化キー (KEK) を使用する
設問: WebApp1 を技術的要件を満たすように構成する必要があります。Vault1 から使用できる証明書はどれですか?
正解:B
技術的要件は 「WebApp1 に TLS を使用する」です。App Service が Key Vault から TLS/SSL 証明書をインポートするには、次の条件を満たす必要があります:
- コンテンツ タイプは PKCS#12 (PFX) - PEM 形式の証明書は直接インポート不可
- 証明書は秘密キーを含む
Vault1 の証明書のうち、PKCS#12 の Cert1 と Cert2 が使用可能です。
- A: Cert2 も PKCS#12 のため使える。
- C/D/E: Cert3 と Cert4 は PEM 形式のため App Service の TLS 証明書としてはインポートできない。
元問題形式: Case Study (ADatum Corporation) の 1 問目。