AZ700-SEC#8-1
【シナリオ】
あなたの会社は Hub-Spoke ネットワーク アーキテクチャで、複数の Spoke VNet からの Outbound 通信をすべて中央で検査する設計を進めています。要件: Outbound を FQDN ベースでフィルタ、TLS 復号して内容検査 (Premium 機能)、ログをすべて Log Analytics に集約。
【ステートメント】
Azure Firewall Premium SKU を Hub VNet にデプロイし、Application Rule で FQDN フィルタ + TLS Inspection を構成するのが標準解である。
解説
【正解: はい】の理由
Azure Firewall Premium SKU は FQDN ベースの Application Rule + TLS Inspection + IDPS を統合提供する Microsoft マネージド サービスで、本シナリオの要件 (FQDN フィルタ + TLS 復号 + ログ集約) をすべて単一のサービスで実現できます。そのため、Hub VNet 中央配置 + Premium SKU が標準解となります。
【不正解の選択肢の場合】
「いいえ」と判定すると別の構成が必要となりますが、Azure Firewall Premium は本要件の標準ソリューションです。そのため、本構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Firewall Premium SKU を Hub VNet にデプロイし、Application Rule で FQDN… | はい |
| 問2 | 各 Spoke VNet で UDR を構成し、0.0.0.0/0 の Next Hop を Azure Firewall の Priv… | はい |
| 問3 | Azure Firewall Standard SKU でも TLS Inspection (HTTPS 復号) が利用できる。 | いいえ |
コメント