AZ700-SEC#72
Multi-region 本番環境で AVNM Security Admin Rules を使ってテナント全体に「全 SMB ポート Internet からの Inbound を Always Deny」を強制する手順を、正しい順序に並べてください。
- AVNM インスタンスを Management Group スコープで作成
- Network Group を作成 + 動的メンバーシップ (タグ env=prod) で対象 VNet 自動所属
- Security Admin Rule: Direction=Inbound, Action=Always Deny, Source=Internet, Dest Port=445 を構成
- 全 region に Configuration を Deploy + 監視で適用状況確認
解説
【正しい順序】
- ステップ 1: AVNM インスタンス作成
- ステップ 2: Network Group + 動的メンバーシップ
- ステップ 3: Security Admin Rule 構成
- ステップ 4: Configuration Deploy + 監視
【各ステップの理由】
- ステップ 1 AVNM インスタンス作成: Management Group スコープで AVNM を作成し、テナント全体への展開可能性を確保します。
- ステップ 2 Network Group + 動的メンバーシップ: Network Group に動的メンバーシップ (例: タグ env=prod の VNet) を設定し、新 VNet 追加時の自動所属を実現します。
- ステップ 3 Security Admin Rule 構成: Inbound + Always Deny + Source Internet + Dest Port 445 (SMB) のルールを構成します。NSG より優先される強制ルールとなります。
- ステップ 4 Configuration Deploy + 監視: 全対象 region に Configuration を Deploy し、Azure Monitor アラートで適用状況と例外ケースを継続監視します。
【誤った順序の問題点】
- 動的メンバーシップなし: 新 VNet 追加時に手動メンバー追加が必要となり、忘れ漏れによりルール抜け穴が発生します。
- Deploy なしで運用: ルールが実際の VNet に適用されず、設定したつもりが実効性ゼロとなります。
コメント