Q62 — AWS ANS-C01 第1章
第 62/100 問 | ← 第1章
ある企業が、複数のAWSリージョンにまたがる複数のVPCに新しいアプリケーションを展開しています。これらのVPCはAWS Transit Gatewayを介して接続されています。各VPCにはプライベートサブネットおよびパブリックサブネットが含まれています。プライベートサブネット内のすべてのアウトバウンドインターネットトラフィックは監査およびログ記録される必要があります。同社のネットワークエンジニアはAWS Network Firewallを使用する予定であり、Network Firewallを通過するすべてのトラフィックが完全にログ記録され、監査およびアラート目的で利用可能であることを保証する必要があります。これらの要件を満たすために、ネットワークエンジニアはNetwork Firewallのログ記録をどのように構成すべきですか?
- A. Amazon CloudWatchでNetwork Firewallのログ記録を構成し、すべてのアラートをキャプチャします。ログをAmazon CloudWatch Logsのロググループに送信します。
- B. Network FirewallでNetwork Firewallのログ記録を構成し、すべてのアラートおよびフローログをキャプチャします。 ✓
- C. ファイアウォールエンドポイントのVPCフローログを構成することでNetwork Firewallのログ記録を構成します。ログをAmazon CloudWatch Logsのロググループに送信します。
- D. AWS CloudTrailを構成し、データイベントをキャプチャすることでNetwork Firewallのログ記録を構成します。
正解: B. Network FirewallでNetwork Firewallのログ記録を構成し、すべてのアラートおよびフローログをキャプチャします。
解説
AWS Network Firewallは、アラートログ(ルールマッチイベントを記録)およびフローログ(ファイアウォールを通過するすべてのトラフィックのデータを記録)の2種類のログを提供します。AWS公式ドキュメントによれば、完全なログ記録を有効化するには、この2種類のログを同時に構成する必要があります。選択肢Aはアラートログのみを含み、フローログは含まれません。選択肢CはVPCフローログとファイアウォールログを混同しており誤りです。選択肢DのCloudTrailはネットワークトラフィックのメタデータを記録しません。選択肢Bはアラートログおよびフローログの両方を正しく構成しており、すべてのトラフィックを監査するという要件を満たします。AWSドキュメントでは、Network Firewallのログ機能はファイアウォール設定内でアラートおよびフローログを個別に有効化する必要があると明記されています。