AZ700-SEC#60
Multi-region 環境で Azure Firewall Manager を使って 統一セキュリティ ポリシーを展開する手順を、正しい順序に並べてください。
- 親 Firewall Policy を作成 (全社共通ルール: Allow Microsoft / Block 既知マルウェア IP 等)
- 子 Firewall Policy を region 別に作成 (親を継承 + region 固有ルール追加)
- 各 region の Azure Firewall インスタンスに子 Policy を関連付け
- ポリシー適用後、Firewall ログで実際の Allow / Deny 動作を監査
解説
【正しい順序】
- ステップ 1: 親 Policy 作成
- ステップ 2: 子 Policy 作成
- ステップ 3: Firewall に関連付け
- ステップ 4: ログ監査
【各ステップの理由】
- ステップ 1 親 Policy 作成: 全社共通のセキュリティ ルール (Block 既知マルウェア IP、Allow 推奨 Microsoft FQDN 等) を親 Policy として作成します。
- ステップ 2 子 Policy 作成: region 別に子 Policy を作成し、親 Policy を継承しつつ region 固有要件 (例: ローカル法令対応) を追加ルールとして定義します。
- ステップ 3 Firewall に関連付け: 各 region の Azure Firewall インスタンスに対応する子 Policy を関連付けます。これで親ルールも自動的に適用されます。
- ステップ 4 ログ監査: Firewall ログで各ルールの実 Allow / Deny 数を監査し、想定通りの動作か継続検証します。
【誤った順序の問題点】
- 子 Policy なしで直接適用: region 固有要件が反映されず、グローバル統一のみとなり柔軟性に欠けます。
- ログ監査なしで運用: ポリシー誤設定で正常通信が遮断されても発見が遅れ、業務影響が長期化します。
コメント