ある企業がAzureの仮想ネットワーク(VNet)に配置したリソースを、インターネット経由でなくMicrosoftのバックボーンネットワークを通じてAzure PaaSサービス(Azure SQL Databaseなど)に接続したい。パブリックエンドポイントへの接続を廃止し、プライベートIPアドレスで接続することでセキュリティを高めたい。最も適切な機能はどれか。
- A. Azure VPN Gateway:VNetとオンプレミスをIPsec VPNで接続する
- B. Azure Firewall:VNetの境界でトラフィックをフィルタリングする
- C. ネットワークセキュリティグループ(NSG):VMのポートアクセスを制御する
- D. Azure Private Link/プライベートエンドポイント:PaaSサービスをVNet内のプライベートIPアドレスでアクセス可能にする
解答と解説を見る
正解: D
Azure Private LinkとプライベートエンドポイントはPaaSサービス(Azure SQL Database・Blob Storageなど)をVNet内のプライベートIPアドレスとして公開し、インターネットやパブリックエンドポイントを経由せずにMicrosoftのバックボーンネットワーク内で接続できる機能である。これによりデータがインターネットに露出するリスクを排除できる。選択肢AのVPN GatewayはオンプレミスとAzure間の接続に使用し、VNet内リソースとPaaSサービス間の接続には使用しない。選択肢BAzure Firewallはネットワーク境界でのL3-L7フィルタリング(送受信トラフィックの制御)を行うが、PaaSサービスのプライベートエンドポイント化はできない。選択肢CのNSGはVM・サブネットのポートレベルアクセス制御であり、PaaSサービスのエンドポイントをプライベート化する機能はない。
📚 関連サービスの解説: プライベート エンドポイント ・ Azure Virtual Network(VNet)