AZ700-SEC#41
Azure Firewall Premium の TLS Inspection を構成して HTTPS Outbound トラフィックを検査する手順を、正しい順序に並べてください。
- 組織内 CA (Microsoft 推奨 Subordinate CA) を準備
- Subordinate CA 証明書 + 秘密鍵を Azure Key Vault に格納
- Azure Firewall に Managed Identity 割り当て + Key Vault アクセス権限付与
- Firewall Policy で TLS Inspection を Application Rule に有効化 + Web Categories / FQDN URL ルール構成
解説
【正しい順序】
- ステップ 1: 組織内 CA 準備
- ステップ 2: Key Vault 格納
- ステップ 3: Managed Identity + アクセス権
- ステップ 4: TLS Inspection 有効化
【各ステップの理由】
- ステップ 1 組織内 CA 準備: Microsoft 推奨手順では、組織内 Root CA から派生する Subordinate CA 証明書を準備します。これが TLS Inspection で クライアントが信頼する中間 CA となります。
- ステップ 2 Key Vault 格納: Subordinate CA 証明書と秘密鍵を Azure Key Vault に Certificate Object として格納します。Key Vault は HSM-backed が推奨です。
- ステップ 3 Managed Identity + アクセス権: Azure Firewall に User Assigned Managed Identity を割り当て、Key Vault のアクセス ポリシーで Get Certificate / Get Secret 権限を付与します。
- ステップ 4 TLS Inspection 有効化: Firewall Policy の Application Rule で TLS Inspection を有効化し、Web Categories / FQDN / URL ベースのフィルタ ルールを構成します。
【誤った順序の問題点】
- CA を直接 Firewall に配置: TLS Inspection は Key Vault 統合が必須で、直接配置はサポートされません。
- Managed Identity なし: Firewall が Key Vault から証明書を取得できず、TLS Inspection が動作しません。
コメント