Q2 — AWS ANS-C01 第1章

第 2/100 問 | ← 第1章

ある企業が、Amazon EC2インスタンスのクラスター上でアプリケーションを実行しています。新たな社内規定により、EC2インスタンスへの入力および出力のすべてのネットワークトラフィックを、コンテンツ検査のために集中型のサードパーティEC2アプライアンスに送信する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: B. 各EC2ネットワークインターフェイスでVPCフローログを有効化し、ポート443のすべてのトラフィックをキャプチャします。フローログレコードをAmazon CloudWatch Logsのロググループに送信します。すべてのトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成し、ネットワークエンジニアに通知するアラームを作成します。

解説

正解はDです。AWSドキュメントによると、VPC Reachability Analyzerはネットワークパスの接続性を検証できます。正しい構成では、インターネットゲートウェイをパスのソースとして指定し、これはパブリックインターネットからのトラフィックを表します。宛先はEC2インスタンスのプライベートIPアドレスであり、ポート443を指定します。選択肢Dのパス構成は正しく、選択肢Cでは誤ってセキュリティグループをソースとしています。セキュリティグループの変更時にEventBridgeルールがLambda関数を起動し、Reachability Analyzerを実行して接続性を検証し、失敗した場合はSNSで通知します。VPCフローログ(選択肢AおよびB)は受動的にログを記録するのみであり、「変更時に即座に検証」するという要件を満たしません。回答の根拠:AWS VPC Reachability Analyzerは、インターネットゲートウェイなどのゲートウェイリソースからEC2インスタンスへのパス分析をサポートしており、EventBridgeとLambdaを組み合わせることで自動化された検出が可能です(AWS re:Invent 2020、セキュリティおよびコンプライアンスセッション)。