ある企業がAzureにVMをデプロイする際に、インターネットからのRDP(リモートデスクトップ)アクセスを特定のIPアドレスのみに制限したい。最も適切なAzureの機能はどれか。
- A. ネットワークセキュリティグループ(NSG):インバウンド/アウトバウンドルールでポート・IPアドレスのアクセスを制御する
- B. Azure DDoS Protection:分散型サービス妨害攻撃から保護する
- C. Azure Firewall:VNet境界でのL3-L7フィルタリング
- D. Azure Key Vault:秘密鍵・証明書の安全な保管
解答と解説を見る
正解: A
ネットワークセキュリティグループ(NSG)はAzure VMのNICまたはサブネットに関連付けるL4ファイアウォールで、ソースIPアドレス・宛先ポート・プロトコルを指定したインバウンド/アウトバウンドルールを設定できる。RDPポート(TCP 3389)へのアクセスを特定IPアドレスのみに制限するルールを追加することで要件を満たす。選択肢BのAzure DDoS ProtectionはL3/L4の大規模なDDoS攻撃からの防御に特化しており、特定ポートのIPホワイトリスト設定には使用しない。選択肢CのAzure FirewallはVNet全体に適用するより高機能なネットワークファイアウォールで、NSGよりも大規模・複雑なポリシー管理向きだが、特定VMのポートアクセス制限という要件に対してはNSGがシンプルで直接的。選択肢DのKey VaultはAPIキー・パスワード・証明書の安全な保管サービスであり、ネットワークアクセス制御とは無関係。
📚 関連サービスの解説: ネットワーク セキュリティ グループ(NSG)