AZ700-SEC#49
AVNM (Azure Virtual Network Manager) の Security Admin Rules でテナント全体に「全 RDP/SSH 通信を Always Deny」する手順を、正しい順序に並べてください。
- AVNM インスタンスを作成 + Scope (Subscription / Management Group) を選択
- Network Group を作成 + 対象 VNet を Static または Dynamic メンバーシップで追加
- Security Admin Rule を作成 (Always Deny + RDP/SSH Port + Source Internet)
- Configuration を Deploy + 対象 region に展開
解説
【正しい順序】
- ステップ 1: AVNM インスタンス作成
- ステップ 2: Network Group 構成
- ステップ 3: Security Admin Rule 作成
- ステップ 4: Configuration Deploy
【各ステップの理由】
- ステップ 1 AVNM インスタンス作成: AVNM をテナント内で作成し、Scope (Subscription / Management Group) を設定します。
- ステップ 2 Network Group 構成: Network Group に対象 VNet を Static または Dynamic メンバーシップで登録します。
- ステップ 3 Security Admin Rule 作成: Always Deny アクションを選び、RDP (3389) / SSH (22) ポート + Source = Internet を指定します。NSG より優先される強制ルールとなります。
- ステップ 4 Configuration Deploy: Configuration を対象 region に Deploy します。Deploy 後、ルールは Subscription 内のすべての対象 VNet で自動適用されます。
【誤った順序の問題点】
- Deploy なしでルール作成済み: Deploy しないとルールは適用されず、効果が出ません。
- Network Group なしでルール適用: 対象 VNet が指定されないため、ルールが何にも適用されません。
コメント