Q30 — AWS ANS-C01 第1章

第 30/100 問 | ← 第1章

ある企業は、VPC内でNATゲートウェイを用いてインターネットへのアウトバウンドトラフィックを処理するアプリケーションを展開しています。ネットワークエンジニアは、VPCからインターネットへ向かう大量の不審なネットワークトラフィックを観測しました。このトラフィックは、拒否リストに記載されたIPアドレスへ向かっています。ネットワークエンジニアは、どのAWSリソースがこの不審なトラフィックを生成しているかを特定するソリューションを実装する必要があります。このソリューションは、コストおよび管理負荷を最小限に抑える必要があります。

正解: C. VPCフローログを使用する。フローログをAmazon CloudWatch Logsのロググループに配信する。CloudWatch Logs Insightsを用いてフローログをクエリし、不審なトラフィックを生成しているAWSリソースを特定する。

解説

この問題を解決する際の目標は、不審なトラフィックを生成しているAWSリソースを特定することであり、同時にコストおよび管理負荷を最小限に抑える必要があります。選択肢AはEC2インスタンスとトラフィックミラーリングを用いてトラフィックをキャプチャ・分析する方法ですが、これにより追加のEC2コストおよび管理の複雑性が生じます。選択肢BはVPCフローログとSIEMソリューションを用いる方法ですが、SIEMソリューションの導入および設定はコストおよび複雑性を増加させる可能性があります。選択肢CはVPCフローログをCloudWatch Logsに配信し、CloudWatch Logs Insightsを用いてクエリする方法です。これは経済的かつ効率的であり、CloudWatch Logs Insightsは強力なクエリ機能を提供し、複雑なSIEMシステムの導入を必要としません。選択肢DはKinesisおよびAthenaなどの高度なサービスを用いる方法ですが、コストおよび管理の複雑性が高くなるため、コストおよび管理負荷の最小化という要件には適合しません。したがって、最適な選択肢はCです。