ある企業がAzureで仮想ネットワーク内のトラフィックを外部に出す前に特定のWebサイト(悪意あるIPアドレスや不審ドメイン)へのアクセスをブロックしたい。また、社内ポリシーに違反するカテゴリーのWebサイト(ギャンブル・マルウェア配布)へのアクセスも自動的にブロックしたい。最も適切なAzureサービスはどれか。
- A. ネットワークセキュリティグループ(NSG):サブネット・NICレベルのL4フィルタリング
- B. Azure Firewall PremiumのURLフィルタリング+脅威インテリジェンスフィード:L7でFQDN・URLカテゴリフィルタリングと既知の悪意あるIPをブロック
- C. Azure DDoS Protection:大規模なDDoS攻撃から保護する
- D. Azure Load Balancer:トラフィックを複数のバックエンドに分散する
解答と解説を見る
正解: B
Azure Firewall Premium(またはStandard)はFQDN(完全修飾ドメイン名)フィルタリング・URLカテゴリフィルタリング・Microsoftの脅威インテリジェンスフィード(既知の悪意あるIPアドレス・ドメインの自動ブロック)を提供するL7ファイアウォールサービスである。これにより不審なドメインへのアクセスとカテゴリベースのWebフィルタリングを実現できる。選択肢AのNSGはL4のIPアドレス・ポートベースのフィルタリングのみで、FQDNやURLカテゴリフィルタリング・脅威インテリジェンス機能はない。選択肢CAzure DDoS Protectionは大規模なL3/L4のDDoS攻撃からの保護に特化しており、WebサイトへのアクセスフィルタリングはAzure Firewallの機能。選択肢DAzure Load Balancerはトラフィックの負荷分散サービスであり、セキュリティフィルタリングはない。
📚 関連サービスの解説: Azure Firewall