ある企業が Azure 環境で DDoS 攻撃への対策を検討している。Azure DDoS Protection Standard について正しい説明を2つ選択してください。
- A. DDoS Protection Standard は仮想ネットワーク(VNet)に関連付けることで、その VNet 内のパブリック IP アドレスを保護する
- B. DDoS Protection Standard は WAF の機能を内包しており、SQLインジェクションやXSS攻撃も自動ブロックする
- C. DDoS Protection Basic はすべてのAzureサービスにデフォルトで有効になっており、インフラレベルの基本的な保護を提供する
- D. DDoS Protection Standard の攻撃緩和ポリシーは手動でトラフィック閾値を設定する必要があり、自動調整機能はない
- E. DDoS Protection Standard はサブスクリプション レベルで有効化すれば、そのサブスクリプション内のすべてのリソースに自動適用される
解答と解説を見る
正解: A, C
正しいのは選択肢AとCの2つ。選択肢A「VNetに関連付けることでその VNet 内のパブリックIPアドレスを保護する」はDDoS Protection Standardの正確な有効化方法。VNetに関連付けることで、そのVNet内のパブリックIPを持つリソース(VM、Application Gateway等)が保護対象となる。選択肢C「DDoS Protection Basicはデフォルトで有効でインフラレベルの基本的な保護を提供する」は正確で、すべてのAzure顧客に追加料金なしで提供される基本レベルの保護である。選択肢E「サブスクリプションレベルで有効化すれば全リソースに自動適用」は誤り。Standard は VNet 単位で関連付ける必要がある。選択肢B「WAFの機能を内包しSQLインジェクションをブロックする」は誤り。DDoS Protectionはネットワーク帯域・プロトコル攻撃の緩和に特化し、L7のWebアプリ攻撃はWAFの役割。選択肢D「手動でトラフィック閾値を設定する必要がある」は誤り。Standardは機械学習による適応型チューニングで閾値を自動最適化する。
📚 関連サービスの解説: Azure Virtual Network(VNet)