AZ700-SEC#53
各セキュリティ要件に対し、Azure Firewall と NSG の使い分けを選んでください。
| ステートメント | 選択 |
|---|---|
サブネット間で IP / ポート ベースの細粒度トラフィック制御 サブネット間の細粒度 L3-L4 制御は NSG の役割です。Azure Firewall を経由させると不要なホップとレイテンシが発生するため、内部通信制御には NSG を採用します。 | |
Internet Outbound を FQDN フィルタで集中制御 + ログ集約 FQDN ベース フィルタは Application Rule の役割で、NSG では実現できません。そのため、Internet 出口の集中制御には Azure Firewall を採用します。 | |
多層防御 (サブネット間 NSG + Hub Firewall) の Defense in Depth 本番環境では NSG (サブネット / NIC レベル) + Azure Firewall (VNet / Hub レベル) を組み合わせて多層防御を構築するのが標準パターンです。これにより、各層で異なる粒度の制御が機能します。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| サブネット間で IP / ポート ベースの細粒度トラフィック制御 | NSG |
| Internet Outbound を FQDN フィルタで集中制御 + ログ集約 | Azure Firewall |
| 多層防御 | 併用 |
【各判定の詳細】
- 「サブネット間で IP / ポート ベースの細粒度トラフィック制御」→ NSG: サブネット間の細粒度 L3-L4 制御は NSG の役割です。Azure Firewall を経由させると不要なホップとレイテンシが発生するため、内部通信制御には NSG を採用します。
- 「Internet Outbound を FQDN フィルタで集中制御 + ログ集約」→ Azure Firewall: FQDN ベース フィルタは Application Rule の役割で、NSG では実現できません。そのため、Internet 出口の集中制御には Azure Firewall を採用します。
- 「多層防御」→ 併用: 本番環境では NSG (サブネット / NIC レベル) + Azure Firewall (VNet / Hub レベル) を組み合わせて多層防御を構築するのが標準パターンです。これにより、各層で異なる粒度の制御が機能します。
コメント