AZ700-SEC#21
Azure DDoS Network Protection を本番ワークロードに導入する手順を、正しい順序に並べてください。
- DDoS Protection Plan を作成 (1 サブスクリプション 1 Plan)
- 保護対象 VNet を Plan に関連付け (Standard Public IP のみ対象)
- Azure Monitor アラート + 診断ログ送信を構成
- BreakingPoint Cloud (Microsoft 公認) でシミュレーション攻撃テスト
解説
【正しい順序】
- ステップ 1: Plan 作成
- ステップ 2: VNet 関連付け
- ステップ 3: アラート + 診断ログ
- ステップ 4: シミュレーション テスト
【各ステップの理由】
- ステップ 1 Plan 作成: DDoS Protection Plan を作成します。Plan は サブスクリプション単位で約 $2,944/月、100 Public IP まで含みます。
- ステップ 2 VNet 関連付け: 保護対象 VNet を Plan に関連付けます。Public IP が Standard SKU である必要があります。
- ステップ 3 アラート + 診断ログ: Under DDoS attack / Mitigation triggered 等のメトリクスでアラートを構成し、診断ログを Log Analytics に送信します。
- ステップ 4 シミュレーション テスト: BreakingPoint Cloud で 5〜50 Gbps の疑似攻撃を実施し、検知・緩和動作・Mitigation Report 生成を確認します。
【誤った順序の問題点】
- Plan なしで VNet 関連付け: 保護コンテナとなる Plan が存在しないため、関連付けが失敗します。
- シミュレーション なしで本番運用: 実機検証なしでは本物攻撃時に意図せず障害となるリスクがあります。
コメント