SC-900Microsoft セキュリティ ソリューションの機能MEDIUM単一選択

ある企業のセキュリティアーキテクトが、Azure 仮想ネットワーク内の複数のサブネット間および仮想ネットワーク外へのアウトバウンド通信を中央で制御するハブアンドスポーク構成を設計している。ハブに配置するセキュリティサービスとして最も適切なものはどれか。

  1. A. Azure DDoS Protection Standard — ハブ VNet に適用してスポーク VNet も保護する
  2. B. Azure Firewall — ハブ VNet に配置してスポークからのトラフィックを中央検査・フィルタリングする
  3. C. Azure Bastion — ハブ VNet に配置してすべての VM への RDP/SSH をポータル経由に集約する
  4. D. Network Security Group — ハブ VNet のサブネットに関連付けて全スポークのトラフィックを制御する
解答と解説を見る

正解: B

ハブアンドスポーク構成では、ハブ VNet に Azure Firewall を配置し、スポーク VNet からのトラフィックをUser-Defined Route(UDR)でFWに集約することで、中央での一元的なトラフィック検査・フィルタリング・ログ収集が実現できる。これはMicrosoftが推奨するAzureの参照アーキテクチャパターンである。選択肢CのAzure BastionをハブVNetに置くことでRDP/SSH集約は可能だが、サブネット間・アウトバウンドの一般トラフィック検査はできない。NSGはサブネット・NIC単位のルールであり、複数スポークからのトラフィックを中央で検査する仕組みとしてはFWほど適切でない(NSGにはFQDNフィルタ・ログ一元収集・脅威インテリジェンス機能がない)。DDoS Protection StandardはVNetのDDoS緩和を担うが、スポーク間のトラフィック検査・フィルタリングは担当しない。

📚 関連サービスの解説: Azure FirewallAzure Virtual Network(VNet)
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題