AZ700-SEC#25
各セキュリティ要件と、適切な Azure サービスを選んでください。
| ステートメント | 選択 |
|---|---|
サブネット内 VM 間の通信を細粒度制御 (ASG ベース) サブネット内 VM 間の通信制御は NSG + ASG の細粒度設計で実現するのが標準です。Azure Firewall を経由させると不要なホップが発生し、コストとレイテンシが増えます。 | |
Outbound 通信を FQDN フィルタで制御 (例: *.windowsupdate.com のみ許可) FQDN ベース フィルタは Azure Firewall の Application Rule の役割で、NSG は IP / ポート ベースのため FQDN マッチングは扱えません。そのため、FQDN フィルタ要件には Azure Firewall が必須となります。 | |
VNet 内通信の Inbound 制御 (IP / ポート ベース) Inbound IP / ポート制御は NSG が主担当ですが、Azure Firewall を Hub に配置する Hub-Spoke 設計では Firewall でも同様の制御が可能です。そのため、要件規模で使い分けます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| サブネット内 VM 間の通信を細粒度制御 | NSG |
| Outbound 通信を FQDN フィルタで制御 | Azure Firewall |
| VNet 内通信の Inbound 制御 | どちらでも |
【各判定の詳細】
- 「サブネット内 VM 間の通信を細粒度制御」→ NSG: サブネット内 VM 間の通信制御は NSG + ASG の細粒度設計で実現するのが標準です。Azure Firewall を経由させると不要なホップが発生し、コストとレイテンシが増えます。
- 「Outbound 通信を FQDN フィルタで制御」→ Azure Firewall: FQDN ベース フィルタは Azure Firewall の Application Rule の役割で、NSG は IP / ポート ベースのため FQDN マッチングは扱えません。そのため、FQDN フィルタ要件には Azure Firewall が必須となります。
- 「VNet 内通信の Inbound 制御」→ どちらでも: Inbound IP / ポート制御は NSG が主担当ですが、Azure Firewall を Hub に配置する Hub-Spoke 設計では Firewall でも同様の制御が可能です。そのため、要件規模で使い分けます。
コメント