【正解: A】の理由

Azure Bastion は VM に Public IP を割り当てずに、Azure ポータル経由のブラウザベース RDP / SSH 接続を実現するマネージド ジャンプ ホストです。これにより、Public IP 公開によるブルートフォース攻撃やポート スキャンのリスクが大幅に低減され、すべての管理アクセスを VNet 内に閉じ込めた Zero Trust 設計が実現します。

【他選択肢が違う理由】

• B: L7 攻撃防御は WAF の役割です。
• C: DDoS 緩和は DDoS Protection の役割です。
• D: TLS 証明書管理は Bastion の機能ではありません。

【参考】

Azure Bastion 概要