ある企業のセキュリティチームが、Azure Virtual NetworkのサブネットにNSG(ネットワークセキュリティグループ)を適用している。現在のNSGには以下の受信規則が定義されている。 ・優先度100: ソース=10.0.0.0/8, 宛先=Any, ポート=443, 許可 ・優先度200: ソース=Any, 宛先=Any, ポート=443, 拒否 ・優先度300: ソース=Any, 宛先=Any, ポート=Any, 許可 インターネット(203.0.113.5)からのポート443への受信リクエストはどうなるか。
- A. 許可される:優先度300の「Any 許可」ルールがすべてに適用される
- B. 拒否される:NSGのデフォルト規則がインターネットからのトラフィックを常に拒否する
- C. 許可される:優先度100の「10.0.0.0/8 許可」ルールがインターネットにも適用される
- D. 拒否される:優先度200の「Any 443 拒否」ルールが先に評価されて適用される
解答と解説を見る
正解: D
NSGの規則は優先度の低い数値(高い優先度)から順に評価され、最初にマッチした規則が適用されて処理が終了する。203.0.113.5はプライベートアドレス空間10.0.0.0/8に含まれないため優先度100にはマッチしない。次に評価される優先度200は「Any ソースからのポート443」への拒否で、インターネットアドレスにマッチするため、このトラフィックは拒否される。優先度300には到達しない。選択肢Aは規則評価の順序を誤解しており、優先度300より先に200が評価される。選択肢Cは203.0.113.5が10.0.0.0/8の範囲外であることを理解していない誤りである。選択肢Bはデフォルト規則の説明として部分的に正しいが、本問ではカスタム規則200が適用されるため理由が誤り。