ある企業がAzure Application Gateway(WAF SKU)の前段にAzure Front Doorを配置したグローバルWebアプリケーションを運用している。セキュリティチームから「Application GatewayへのアクセスをAzure Front Doorからのトラフィックのみに制限したい」という要件が出た。最も効果的な構成はどれか。
- A. Application GatewayのNSGでAzure Front DoorのIPレンジをソースとして許可する
- B. Azure DDoS Protectionを有効にしてFront Door以外からの大量アクセスを自動的にブロックする
- C. Application GatewayをプライベートIPのみに変更してFront Doorからのプライベート接続を受け入れる
- D. Application GatewayのHTTPリスナーにカスタムヘッダー検証を設定し、Front Doorが付与する固有のX-Azure-FDIDヘッダー値を検証するWAFルールを追加する
解答と解説を見る
正解: D
Azure Front DoorはすべてのリクエストにX-Azure-FDIDヘッダー(Front DoorリソースのID)を付与する。Application GatewayのWAFカスタムルールでこのヘッダーの値(自社のFront DoorインスタンスのIDと一致するか)を検証するルールを作成し、一致しないリクエストを拒否することで、Front Door以外からの直接アクセスを効果的にブロックできる。選択肢AのNSGでFront DoorのIPレンジを許可する方法は「AzureFrontDoor.Backend」サービスタグを使えば実装可能だが、Front DoorのIPレンジはMicrosoftのすべてのFront Doorインスタンスで共有されているため、他のユーザーのFront Doorインスタンスからもアクセスできてしまい、自社のFront Doorに限定できない。選択肢CについてはApplication GatewayのプライベートフロントエンドIPにFront Doorから接続する場合、Front DoorのPrivate Link機能が必要で設定が複雑になる。選択肢BのDDoS Protectionは大量攻撃の緩和であり、特定の送信元制限の機能はない。
📚 関連サービスの解説: Azure Application Gateway