Q52 — AWS ANS-C01 第1章
第 52/100 問 | ← 第1章
セキュリティチームが企業のAWS展開について監査を実施しています。セキュリティチームは、2つのアプリケーションがネットワークACLおよびセキュリティグループによってブロックされるべきリソースにアクセスしている可能性があることに懸念しています。これらのアプリケーションは、Amazon VPC Container Network Interface(CNI)プラグインを使用する2つのAmazon Elastic Kubernetes Service(Amazon EKS)クラスターに展開されており、同一VPC内の別々のサブネットに配置されています。また、クラスターオートスケーラーが構成されています。 セキュリティチームは、VPC全体でどのPOD IPアドレスがどのサービスと通信しているかを特定する必要があります。さらに、フローログの数を最小限に抑え、2つのアプリケーションからのトラフィックのみを調査したいと考えています。 これらの要件を満たすソリューションのうち、運用オーバーヘッドが最も少ないものはどれですか?
- A. デフォルト形式でVPCフローログを作成します。EKSノードからのみフローログを収集するフィルターを作成します。フローログにsrcaddrフィールドおよびdstaddrフィールドを含めます。
- B. カスタム形式でVPCフローログを作成します。EKSノードをリソースとして指定します。フローログにpkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めます。
- C. カスタム形式でVPCフローログを作成します。アプリケーションのサブネットをリソースとして指定します。フローログにpkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めます。
- D. カスタム形式でVPCフローログを作成します。EKSノードからのみフローログを収集するフィルターを作成します。フローログにpkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めます。 ✓
正解: D. カスタム形式でVPCフローログを作成します。EKSノードからのみフローログを収集するフィルターを作成します。フローログにpkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めます。
解説
セキュリティチームの要件——VPC全体におけるPOD IPアドレスとサービス間の通信の特定、フローログの量の制限、および2つのアプリケーションからのトラフィックのみの検査——を満たすには、効率的なログ収集戦略が必要です。選択肢Dは、カスタム形式のVPCフローログを作成し、EKSノードからのみフローログを収集するフィルターを設定するという手法を提案しています。この方法により、EKSノード上のトラフィックに正確に焦点を当てることができ、不要なデータ収集を削減し、運用オーバーヘッドを低減します。さらに、pkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めることで、PODとサービス間の通信を分析するために不可欠な送信元および宛先IPアドレス情報を確実に取得できます。したがって、選択肢Dが問題文の要件を最もよく満たすソリューションです。