AZ700-SEC#97-3
【シナリオ】
あなたの会社は新規 Subscription で Zero Trust ネットワーク設計を実装します。要件: すべての管理 RDP/SSH を Public IP なしで実現、PaaS への通信は Public 経由排除、Cross-region Multi-region 構成、AVNM で集中ガバナンス。
【ステートメント】
AVNM の Security Admin Rules は NSG より低い優先度で評価されるため、NSG の許可ルールを上書きすることはできない。
解説
【正解: いいえ】の理由
AVNM の Security Admin Rules は NSG より高い優先度で評価され、Always Deny アクションを設定すると NSG の許可ルールを上書きしてトラフィックを遮断できます。これにより、テナント全体での強制セキュリティ ポリシーが実現します。
【不正解の選択肢の場合】
「はい」と判定すると AVNM が NSG より弱いことになりますが、実際は AVNM が NSG より優先される強制機能です。そのため、本記述は誤りで AVNM の優位性が正解です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Azure Bastion を Hub VNet に Premium SKU でデプロイし、VNet Peering 経由で全 Spok… | はい |
| 問2 | すべての PaaS (Storage / SQL / Key Vault 等) に対して Private Endpoint を構成し、P… | はい |
| 問3 | AVNM の Security Admin Rules は NSG より低い優先度で評価されるため、NSG の許可ルールを上書きすること… | いいえ |
コメント