AZ700-SEC#97-2
【シナリオ】
あなたの会社は新規 Subscription で Zero Trust ネットワーク設計を実装します。要件: すべての管理 RDP/SSH を Public IP なしで実現、PaaS への通信は Public 経由排除、Cross-region Multi-region 構成、AVNM で集中ガバナンス。
【ステートメント】
すべての PaaS (Storage / SQL / Key Vault 等) に対して Private Endpoint を構成し、Public Network Access を Disabled に切り替えるのが Zero Trust 要件である。
解説
【正解: はい】の理由
Zero Trust 設計では PaaS への通信を Public Internet 経由から完全に排除する必要があり、Private Endpoint + Public Network Access Disabled の組み合わせが必須となります。これにより、すべての PaaS 通信が VNet 内のプライベート経路で完結する閉域ネットワークが実現します。
【不正解の選択肢の場合】
「いいえ」と判定すると Public 経由でも Zero Trust 達成可能となりますが、Public 経路はその時点で Zero Trust 原則に反します。そのため、PE + Public Disabled が正解です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Bastion を Hub VNet に Premium SKU でデプロイし、VNet Peering 経由で全 Spok… | はい |
| 問2 | すべての PaaS (Storage / SQL / Key Vault 等) に対して Private Endpoint を構成し、P… | はい |
| 問3 | AVNM の Security Admin Rules は NSG より低い優先度で評価されるため、NSG の許可ルールを上書きすること… | いいえ |
コメント