AZ700-SEC#55
新規 Subscription で Security Baseline (NSG / Firewall / DDoS / Bastion) を段階的にデプロイする手順を、正しい順序に並べてください。
- VNet 設計 + 各 Tier (Web/App/DB) サブネット作成 + NSG 関連付け
- Hub VNet に Azure Firewall + AzureFirewallSubnet をデプロイ
- 本番 VNet を DDoS Protection Plan に関連付け
- AzureBastionSubnet を作成 + Azure Bastion をデプロイ (管理アクセス)
解説
【正しい順序】
- ステップ 1: VNet + NSG
- ステップ 2: Azure Firewall
- ステップ 3: DDoS Protection
- ステップ 4: Azure Bastion
【各ステップの理由】
- ステップ 1 VNet + NSG: まず VNet と Tier 別サブネット (Web / App / DB) を設計し、NSG で基本的なサブネット間アクセス制御を構成します。
- ステップ 2 Azure Firewall: Hub VNet に Azure Firewall を AzureFirewallSubnet にデプロイし、Outbound 検査の基盤を構築します。
- ステップ 3 DDoS Protection: 本番 VNet を DDoS Network Protection Plan に関連付け、L3-L7 DDoS 攻撃緩和を有効化します。
- ステップ 4 Azure Bastion: AzureBastionSubnet を作成して Bastion をデプロイし、Public IP なしの管理 RDP / SSH アクセスを実現します。
【誤った順序の問題点】
- Bastion を最初にデプロイ: VNet と NSG が存在しないため、管理対象となる VM もまだなく、Bastion デプロイの意味が薄れます。
- DDoS Protection なしで本番運用: L3-L7 攻撃緩和が不在で、Volumetric 攻撃時に Public エンドポイントが落ちる可能性が高まります。
コメント