AZ700-SEC#92
各セキュリティ要件と Azure 機能を選んでください。
| ステートメント | 選択 |
|---|---|
本番 Web アプリの DDoS 防御 (L3-L4 + L7 アプリ層) 本番 Web アプリには DDoS Network Protection (L3-L4) + WAF (L7 アプリ層) の組み合わせが必須となります。これにより、Volumetric 攻撃から SQL Injection まで多層防御を実現できます。 | |
NSG / Azure Firewall の診断ログ + Log Analytics 集約 セキュリティ監査要件 (PCI DSS / ISO 27001 等) では、NSG Flow Logs と Firewall Diagnostic Logs の Log Analytics 集約が必須となります。これにより、SOC オペレーションで迅速な脅威検知と対応が可能となります。 | |
Azure Bastion による Public IP なし管理アクセス Azure Bastion は強く推奨される設計ですが、管理アクセスは VPN Gateway / Jump Box VM でも実現可能なため、必須ではなく任意 (推奨) です。Zero Trust 要件が厳格な場合は Bastion 採用が推奨されます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| 本番 Web アプリの DDoS 防御 | 必須 |
| NSG / Azure Firewall の診断ログ + Log Analytics 集約 | 必須 |
| Azure Bastion による Public IP なし管理アクセス | 任意 |
【各判定の詳細】
- 「本番 Web アプリの DDoS 防御」→ 必須: 本番 Web アプリには DDoS Network Protection (L3-L4) + WAF (L7 アプリ層) の組み合わせが必須となります。これにより、Volumetric 攻撃から SQL Injection まで多層防御を実現できます。
- 「NSG / Azure Firewall の診断ログ + Log Analytics 集約」→ 必須: セキュリティ監査要件 (PCI DSS / ISO 27001 等) では、NSG Flow Logs と Firewall Diagnostic Logs の Log Analytics 集約が必須となります。これにより、SOC オペレーションで迅速な脅威検知と対応が可能となります。
- 「Azure Bastion による Public IP なし管理アクセス」→ 任意: Azure Bastion は強く推奨される設計ですが、管理アクセスは VPN Gateway / Jump Box VM でも実現可能なため、必須ではなく任意 (推奨) です。Zero Trust 要件が厳格な場合は Bastion 採用が推奨されます。
コメント