Q49 — AWS ANS-C01 第1章

第 49/100 問 | ← 第1章

コンサルティング会社が顧客のAWSアカウントを管理しています。同社の顧客の1社は、環境の再構築を行わずに侵入防止機能を追加する必要があります。顧客の環境には、米国国内の2つのAWSリージョンに5つのVPCが存在し、VPCピアリングによりVPC間接続が実現されています。顧客は今後2年間でVPC数を増やす予定はありません。また、このソリューションは暗号化されていないトラフィックをサポートする必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. 各VPCにAWS Network Firewallの分散展開モデルを導入します。

解説

正解はCです。顧客の環境は、米国内の2つのAWSリージョンに5つのVPCが存在し、VPCピアリングによって相互接続されており、今後2年間でVPC数の増加は見込まれません。また、再構築なしに侵入防止機能を追加する必要があり、未暗号化トラフィックを処理できる必要があります。AWS Network Firewallの分散展開モデルは、各VPCに独立した保護を提供し、複雑なマルチVPC環境およびVPC間接続を伴う要件に適しており、未暗号化トラフィックも処理可能です。一方、AのVPCセキュリティグループおよびネットワークACLは包括的な侵入防止機能を提供できません。Bの集中展開モデルは、複数のVPCかつ異なるリージョンにまたがる環境には不適切です。DのAWS ShieldはDDoS攻撃に対する保護を主目的としており、包括的な侵入防止要件を満たしません。以上より、Cが最適な選択肢です。