ある企業がAzure上でWebフロントエンドとバックエンドAPIの2層構成のアプリを運営している。セキュリティチームは、Webフロントエンド層のVMにはHTTPSのみ許可し、バックエンドAPI層のVMにはWebフロントエンド層からの通信のみ許可したい。IPアドレスが変更されても自動追従できる最も効率的な設計はどれか。
- A. 全VMにパブリックIPを付与し、NSGで各VMのIPアドレスを個別に列挙してルールを定義する
- B. Azure Firewall のアプリケーションルールでFQDNベースのフィルタリングを設定する
- C. ASGを使い「WebFrontend」「BackendAPI」グループを定義し、NSGルールの送信元・宛先をASGで指定する
- D. 各サブネットに独立した VNet を作成し、VNet ピアリングでセグメント間通信を制限する
解答と解説を見る
正解: C
アプリケーション セキュリティ グループ(ASG)を使用すると、VMをIPアドレスではなく論理グループ名(例:「WebFrontend」「BackendAPI」)で分類でき、NSGルールの送信元・宛先にASG名を指定できる。VMのIPアドレスが変わってもASGメンバーシップはNICに紐づくため、ルールの変更は不要で自動追従される。選択肢AのIPアドレスの個別列挙は管理コストが高く、VM追加・IP変更のたびにルール更新が必要になる。選択肢BのAzure FirewallのFQDNフィルタリングはドメイン名ベースのアウトバウンド制御に有用だが、VNet内サブネット間の通信制御をASGのように論理グループで管理する機能ではない。選択肢DのVNet分離は可能だが、単一VNet内のASGより構成が複雑でオーバーエンジニアリングになる。
📚 関連サービスの解説: ネットワーク セキュリティ グループ(NSG)