AWS認定資格 WEB問題集&徹底解説
CloudOpsエンジニア -アソシエイト
解説
正解はBです。Network ACL(ネットワークACL)は、サブネットレベルで動作するステートレスなファイアウォールであり、明示的な拒否ルールを設定できます。各サブネットに関連付けられたNetwork ACLに特定IPアドレスからの送受信を拒否するルールを追加することで、VPC内の複数サブネット全体に対して即座にトラフィック遮断を適用できます。Network ACLは優先度順にルールを評価するため、最上位に拒否ルールを配置すれば即座に効果を発揮します。
選択肢A:AWS WAFはWebアプリケーションを保護するためのサービスであり、CloudFront、Application Load Balancer、API Gatewayなどに適用されます。VPC内のすべてのリソースやEC2インスタンスへの直接的なトラフィックを制御する用途には適していません。また、デプロイと構成に時間を要するため、即座の対応という要件に合致しません。
選択肢C:Security Groupはステートフルなファイアウォールですが、許可ルールのみをサポートし、明示的な拒否ルールを設定できません。特定IPアドレスからのアクセスを拒否するには、そのIPアドレスを許可リストから除外する必要がありますが、これではすべての不要なトラフィックを効果的にブロックすることはできません。
選択肢D:AWS Network Firewallは高度なネットワーク保護機能を提供しますが、新規デプロイには設計、構成、エンドポイント作成、ルーティング変更などの複雑な手順が必要です。即座の対応が求められる状況において、既存のNetwork ACLを利用する方が迅速かつ効率的です。
AWS Network Firewall
AWS WAF
選択肢A:AWS WAFはWebアプリケーションを保護するためのサービスであり、CloudFront、Application Load Balancer、API Gatewayなどに適用されます。VPC内のすべてのリソースやEC2インスタンスへの直接的なトラフィックを制御する用途には適していません。また、デプロイと構成に時間を要するため、即座の対応という要件に合致しません。
選択肢C:Security Groupはステートフルなファイアウォールですが、許可ルールのみをサポートし、明示的な拒否ルールを設定できません。特定IPアドレスからのアクセスを拒否するには、そのIPアドレスを許可リストから除外する必要がありますが、これではすべての不要なトラフィックを効果的にブロックすることはできません。
選択肢D:AWS Network Firewallは高度なネットワーク保護機能を提供しますが、新規デプロイには設計、構成、エンドポイント作成、ルーティング変更などの複雑な手順が必要です。即座の対応が求められる状況において、既存のNetwork ACLを利用する方が迅速かつ効率的です。
関連サービスの解説
Amazon VPCAWS Network Firewall
AWS WAF
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 44%
No.31 解説
ある企業のセキュリティチームが、特定の外部IPアドレス群から繰り返し不審なアクセスが行われていることを検知しました。これらのIPアドレスからのトラフィックを、VPC内の複数のサブネットに配置された全リソースに対して、送受信の両方向で即座に遮断する必要があります。この要件を最も迅速に実現する方法はどれですか。
- AWS WAFでIPアドレスセットを作成し、該当IPアドレスをブロックするWebACLルールを設定する
- VPC内の全サブネットに関連付けられたNetwork ACLにdenyルールを追加する
- 影響を受けるインスタンスのSecurity Groupに拒否ルールを追加して、送受信トラフィックを制限する
- AWS Network Firewallをデプロイし、ステートフルルールグループで該当IPアドレスをブロックする