AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
解説
この問題では、効果的な費用対効果の高いスケーラブルな軽減策を提供するアプローチを尋ねられています。選択肢アは、DirectConnect パートナーのスペースをリースし、ハードウェア Web アプリケーションファイアウォールでトラフィックをフィルタリングする方法を提案しています。選択肢イは、以前に特定された敵対的なソース IPを明示的なINBOUND DENY NACLとしてWeb層サブネットに追加する方法を提案しています。選択肢ウは、新しいELBとホストベースのWAFを実行するEC2インスタンスのAutoScalingグループを作成し、WAF層を追加し、Web層のセキュリティグループを更新することで、選択肢イよりも効果的かつ費用対効果が高いアプローチを提供します。選択肢エは、TLS 1.2以外をすべて削除して、ELB自体がWAF機能を実行できるようにする方法を提案しています。選択肢ウが正解です。このアプローチは、新しいELBにホストベースのWAFを実行するEC2インスタンスのAutoScalingグループを作成することで、攻撃者からWeb層を保護するために高度なフィルタリングを提供します。さらに、WAF層は現在のWeb層にトラフィックを転送するため、Web層のセキュリティグループを更新する必要があります。
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 75%
No.15 解説
あなたは、非常に大規模な e コマース サイトの全体的なセキュリティ体制を強化するために雇われました。S3 から直接提供される静的アセットを使用して、Web 層とアプリ層の両方の前で ELB を使用する VPC で実行される、適切に設計された多層アプリケーションがあります。彼らは動的データに RDS と DynamoDB を組み合わせて使用し、EMR でさらに処理するために毎晩 S3 にアーカイブしています。彼らは疑わしいログ エントリを発見し、誰かが不正アクセスを試みているのではないかと心配しています。この種の攻撃に対して費用対効果が高く、スケーラブルな軽減策を提供するアプローチはどれですか?
- DirectConnect パートナーの場所でスペースをリースし、VPC への 1G DirectConnect 接続を確立してから、スペースへのインターネット接続を確立し、ハードウェア Web アプリケーション ファイアウォール (WAF) でトラフィックをフィルタリングすることをお勧めします。次に、DirectConnect 接続を介してトラフィックを VPC で実行されているアプリケーションに渡します。
- 以前に特定された敵対的なソース IP を明示的な INBOUND DENY NACL として Web 層サブネットに追加します。
- 新しい ELB と、ホストベースの WAF を実行する EC2 インスタンスの AutoScaling グループを作成して、WAF 層を追加します。Route 53 をリダイレクトして、新しい WAF 層 ELB に解決します。WAF 層はトラフィックを現在の Web 層に渡します Web 層のセキュリティ グループは、WAF 層のセキュリティ グループからのトラフィックのみを許可するように更新します
- Web 層 ELB から TLS 1.2 を除くすべてを削除し、高度なプロトコル フィルタリングを有効にします。これにより、ELB 自体が WAF 機能を実行できるようになります。