ある製造業の企業が Azure 仮想ネットワーク内に複数のサブネットを持ち、サブネット間のトラフィックをステートフルに検査・ログ収集したい。また、既知の悪意あるIPアドレスへの通信をAzureが管理する脅威インテリジェンスで自動ブロックしたい。最も適切なサービスはどれか。
- A. Network Security Group (NSG) — サブネットと NIC レベルでステートフルなL4フィルタリングを行う
- B. Azure DDoS Protection Standard — VNet 内のトラフィックパターンを学習してDDoSを緩和する
- C. Azure Bastion — 仮想ネットワーク内のVM間通信を仲介して安全にセッションを管理する
- D. Azure Firewall — ステートフル検査・FQDN フィルタリング・脅威インテリジェンス連携を提供するマネージドFW
解答と解説を見る
正解: D
Azure Firewall はマイクロソフトが管理するクラウドネイティブのステートフルFWサービスで、サブネット間・インターネット方向のトラフィックをL3〜L7レベルで検査し、組み込みの脅威インテリジェンス(Microsoft Cyber Security Graph)との連携により既知の悪意あるIPやドメインへの通信を自動ブロックできる。ログはAzure Monitor に統合される。選択肢AのNSGはステートフルなL4ポートフィルタリングは行えるが、脅威インテリジェンス連携、FQDNフィルタリング、アプリケーションルールはサポートしていない。選択肢CのAzure BastionはRDP/SSHアクセスを仲介するサービスであり、サブネット間の一般的なネットワークトラフィック検査とは役割が異なる。選択肢BのDDoS Protectionは外部からの大量攻撃トラフィックの緩和に特化し、VNet内部のサブネット間通信の検査機能は持たない。
📚 関連サービスの解説: Azure Firewall