AZ700-SEC#8-2
【シナリオ】
あなたの会社は Hub-Spoke ネットワーク アーキテクチャで、複数の Spoke VNet からの Outbound 通信をすべて中央で検査する設計を進めています。要件: Outbound を FQDN ベースでフィルタ、TLS 復号して内容検査 (Premium 機能)、ログをすべて Log Analytics に集約。
【ステートメント】
各 Spoke VNet で UDR を構成し、0.0.0.0/0 の Next Hop を Azure Firewall の Private IP に向ける必要がある。
解説
【正解: はい】の理由
Hub-Spoke で全 Spoke の Outbound を Firewall 経由化するには、各 Spoke サブネットの Route Table で 0.0.0.0/0 → Next Hop = Virtual Appliance、IP = Firewall Private IP の UDR を構成する必要があります。これにより、Spoke からのすべてのトラフィックが Hub Firewall を経由する設計が完成します。
【不正解の選択肢の場合】
「いいえ」と判定すると UDR が不要となりますが、UDR なしでは Spoke が既定の System Route で直接 Internet に出てしまいます。そのため、UDR 構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Firewall Premium SKU を Hub VNet にデプロイし、Application Rule で FQDN… | はい |
| 問2 | 各 Spoke VNet で UDR を構成し、0.0.0.0/0 の Next Hop を Azure Firewall の Priv… | はい |
| 問3 | Azure Firewall Standard SKU でも TLS Inspection (HTTPS 復号) が利用できる。 | いいえ |
コメント