AZ700-SEC#97-1
【シナリオ】
あなたの会社は新規 Subscription で Zero Trust ネットワーク設計を実装します。要件: すべての管理 RDP/SSH を Public IP なしで実現、PaaS への通信は Public 経由排除、Cross-region Multi-region 構成、AVNM で集中ガバナンス。
【ステートメント】
Azure Bastion を Hub VNet に Premium SKU でデプロイし、VNet Peering 経由で全 Spoke VM への管理アクセスを実現するのが標準解である。
解説
【正解: はい】の理由
Azure Bastion は Hub VNet に 1 つだけデプロイすれば VNet Peering 経由で 全 Spoke VM への管理アクセスが可能となる コスト効率的な設計です。Premium SKU では セッション録画でコンプライアンス監査要件も満たせます。そのため、Hub 集中配置 + Premium SKU が標準解となります。
【不正解の選択肢の場合】
「いいえ」と判定すると別の管理アクセス方式が必要となりますが、Bastion Hub 集中配置は Zero Trust 管理アクセスの標準パターンです。そのため、本構成が正解となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Bastion を Hub VNet に Premium SKU でデプロイし、VNet Peering 経由で全 Spok… | はい |
| 問2 | すべての PaaS (Storage / SQL / Key Vault 等) に対して Private Endpoint を構成し、P… | はい |
| 問3 | AVNM の Security Admin Rules は NSG より低い優先度で評価されるため、NSG の許可ルールを上書きすること… | いいえ |
コメント