ある企業がAzureのネットワークセキュリティを強化するため、すべての送受信トラフィックを集中的に検査・ルーティングしたい。L3からL7のフィルタリング(IPアドレス・FQDNフィルタリング・脅威インテリジェンスベースのフィルタリング)が必要で、すべてのVNetのトラフィックをこのサービスを経由させたい。最も適切なAzureサービスはどれか。
- A. ネットワークセキュリティグループ(NSG):L4のIPアドレス/ポートベースのフィルタリング
- B. Azure DDoS Protection:大規模なDDoS攻撃から保護するサービス
- C. Azure Bastion:パブリックIPなしでVMにRDP/SSHするセキュアアクセスサービス
- D. Azure Firewall:フルステートフルなマネージドL3〜L7ネットワークファイアウォールサービス
解答と解説を見る
正解: D
Azure Firewallはフルステートフルなマネージドネットワークファイアウォールサービスで、L3/L4のIPアドレス・ポートフィルタリングに加えて、L7のFQDNフィルタリング(特定ドメインへの通信を許可・拒否)・アプリケーションルール・Microsoftの脅威インテリジェンスフィードに基づくフィルタリングを提供する。Azure Virtual WAN HubやハブスポークトポロジーのハブVNetに配置して、すべてのVNetのトラフィックを強制的に経由させることができる。選択肢AのNSGはL4のIPアドレス・ポートベースのフィルタリングのみで、FQDN・脅威インテリジェンスフィルタリング・L7検査は持たない。選択肢BAzure DDoS ProtectionはL3/L4の大規模DDoS攻撃防御に特化しており、通常のトラフィック検査・フィルタリング機能はない。選択肢CAzure BastionはVMへのセキュアなRDP/SSHアクセス提供に特化しており、ネットワークファイアウォールの役割は担わない。
📚 関連サービスの解説: Azure Firewall