AZ700-SEC#78
Azure ネットワーク セキュリティ全体について、各記述が正しいか判定してください。
| ステートメント | 選択 |
|---|---|
Azure Firewall は VNet 単位、NSG はサブネット / NIC 単位、AVNM はテナント / 複数 Subscription 単位というスコープの階層がある Azure のネットワーク セキュリティ ツールは スコープごとに役割分担があり、NSG (細粒度) → Firewall (VNet 集中) → AVNM (テナント横断) の階層を組み合わせて多層防御を構築するのが標準パターンです。これにより、各層で最適な粒度の制御が機能します。 | |
DDoS Protection は L3-L4 攻撃に加えて L7 攻撃 (SQL Injection 等) も自動緩和する DDoS Protection は L3-L4 (Volumetric / Protocol) 攻撃と L7 のうち HTTP Flood などのプロトコル攻撃を緩和しますが、SQL Injection や XSS などのアプリ層 攻撃は対象外です。SQL Injection の防御には WAF の併用が必須となります。 | |
Azure Bastion は VM への Public IP 公開なしの管理アクセスを実現し、Zero Trust 設計の重要要素である Bastion は VM への Public IP 公開を排除して管理アクセスを VNet 内に閉じ込めるサービスで、ブルートフォース攻撃やポート スキャンのリスクを大幅に削減します。そのため、Zero Trust 設計における管理アクセス層の中核となります。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| Azure Firewall は VNet 単位、NSG はサブネット / NIC 単位、AVNM はテナント / … | はい |
| DDoS Protection は L3-L4 攻撃に加えて L7 攻撃 | いいえ |
| Azure Bastion は VM への Public IP 公開なしの管理アクセスを実現し、Zero Trust… | はい |
【各判定の詳細】
- 「Azure Firewall は VNet 単位、NSG はサブネット / NIC 単位、AVN…」→ はい: Azure のネットワーク セキュリティ ツールは スコープごとに役割分担があり、NSG (細粒度) → Firewall (VNet 集中) → AVNM (テナント横断) の階層を組み合わせて多層防御を構築するのが標準パターンです。これにより、各層で最適な粒度の制御が機能します。
- 「DDoS Protection は L3-L4 攻撃に加えて L7 攻撃」→ いいえ: DDoS Protection は L3-L4 (Volumetric / Protocol) 攻撃と L7 のうち HTTP Flood などのプロトコル攻撃を緩和しますが、SQL Injection や XSS などのアプリ層 攻撃は対象外です。SQL Injection の防御には WAF の併用が必須となります。
- 「Azure Bastion は VM への Public IP 公開なしの管理アクセスを実現し、…」→ はい: Bastion は VM への Public IP 公開を排除して管理アクセスを VNet 内に閉じ込めるサービスで、ブルートフォース攻撃やポート スキャンのリスクを大幅に削減します。そのため、Zero Trust 設計における管理アクセス層の中核となります。
コメント