Q51 — AWS DOP-C02 第1章

第 51/100 問 | ← 第1章

ある会社が、単一の AWS アカウント内の本番 VPC にアプリケーションをデプロイしています。このアプリケーションは人気があり、トラフィック量が非常に高いです。同社のセキュリティチームは、アプリケーションのデプロイに追加のセキュリティ(例:AWS WAF)を導入したいと考えています。しかし、アプリケーションのプロダクトマネージャーはコストを懸念しており、セキュリティチームが追加のセキュリティが必要であることを証明できない限り、規模を拡大したくありません。 セキュリティチームによると、アプリケーションへの一部のアクセス要求は、ブロックリストに記載された IP アドレスを持つユーザーから発生している可能性があります。セキュリティチームは DevOps エンジニアにブロックリストを提供しました。ブロックリスト内のいずれかの IP アドレスがアプリケーションにアクセスした場合、セキュリティチームはほぼリアルタイムで自動通知を受け取り、そのアプリケーションに追加のセキュリティ保護が必要であることを記録できるようにしたいと考えています。DevOps エンジニアは本番 VPC に対して VPC フローログを有効化しました。 DevOps エンジニアは、これらの要件を最も経済的かつ効率的に満たすために、追加でどのようなステップを取るべきですか?

正解: A. Amazon CloudWatch Logs にロググループを作成します。VPC フローログを設定して受信トラフィックをキャプチャし、データをロググループに送信します。ブロックリスト内の IP アドレスに対して Amazon CloudWatch のメトリクスフィルターを作成します。メトリクスフィルターを入力として CloudWatch アラームを作成します。期間を 5 分、アラームを発行するデータポイント数を 1 に設定します。Amazon Simple Notification Service (Amazon SNS) トピックを使用して、セキュリティチームにアラーム通知を送信します。

解説

最もコスト効率の良い解決策は A です。VPC フローログを受信トラフィックのみに制限し、CloudWatch Logs に直接送信することで、不要なストレージおよび処理コストを削減できます。CloudWatch メトリクスフィルターは、ブロックリスト IP アドレスを含むログエントリを効率的に抽出し、CloudWatch アラームを低遅延でトリガーできます。5 分間隔のアラーム設定と SNS 通知は、リアルタイム性とコスト効率のバランスを最適化します。他の選択肢は、S3/Athena/QuickSight(B)、OpenSearch/Lambda(C)、または Athena コネクタ(D)など、余分なサービスと複雑さを伴い、コストと管理負荷が高くなります。