Q7 — AWS ANS-C01 第1章
第 7/100 問 | ← 第1章
ある企業が、複数のワークロードをパブリックサブネット内のAmazon EC2インスタンスで実行しています。最近のインシデントでは、攻撃者がEC2インスタンスのアプリケーション脆弱性を悪用してそのインスタンスに不正アクセスしました。企業はアプリケーションを修正し、更新済みアプリケーションを含む代替EC2インスタンスを起動しました。 攻撃者は、侵害されたアプリケーションを用いてマルウェアをインターネット上に拡散させました。企業はAWSからの通知を通じて侵害を認識しました。企業は、EC2インスタンス上で展開されたアプリケーションがマルウェアを拡散していることを特定する機能が必要です。 これらの要件を満たす、運用負荷が最も少ないソリューションはどれですか?
- A. Amazon GuardDutyを使用して、DNSリクエストおよびVPCフローログを検査することによりトラフィックパターンを分析します。 ✓
- B. Amazon GuardDutyを使用して、最新のマルウェア署名を備えたAWS管理の偽装システム(デコイ)を展開します。
- C. Gateway Load Balancerを設定し、AWSマーケットプレイスから入手した侵入検知システム(IDS)アプライアンスをAmazon EC2上で実行してトラフィックを検査します。
- D. Amazon Inspectorを設定して、送信トラフィックの深層パケット検査を実行します。
正解: A. Amazon GuardDutyを使用して、DNSリクエストおよびVPCフローログを検査することによりトラフィックパターンを分析します。
解説
正解はAです。Amazon GuardDutyは、DNSリクエストおよびVPCフローログを検査することによりトラフィックパターンを分析し、EC2インスタンス上で展開されたアプリケーションがマルウェアを拡散しているかどうかを特定するのに役立ちます。他の選択肢と比較して、操作が比較的簡単で、要件を効果的に満たすことができます。選択肢Bでは、AWS管理のデコイシステムを最新のマルウェア署名とともに展開するため、操作が複雑です。選択肢Cでは、Gateway Load Balancerを設定し、Amazon EC2上でIDSデバイスを実行してトラフィックを検査するため、多数の設定および管理作業が必要です。選択肢Dでは、送信トラフィックの深層パケット検査を実行するためにAmazon Inspectorを設定する必要がありますが、これも操作が複雑で、大きなリソースオーバーヘッドを伴う可能性があります。したがって、総合的に見て、Aは要件を満たし、運用負荷が最も少ないソリューションです。