Q51 — AWS DOP-C02 第1章
第 51/100 問 | ← 第1章
ある会社が、単一の AWS アカウント内の本番 VPC にアプリケーションをデプロイしています。このアプリケーションは人気があり、トラフィック量が非常に高いです。同社のセキュリティチームは、アプリケーションのデプロイに追加のセキュリティ(例:AWS WAF)を導入したいと考えています。しかし、アプリケーションのプロダクトマネージャーはコストを懸念しており、セキュリティチームが追加のセキュリティが必要であることを証明できない限り、規模を拡大したくありません。 セキュリティチームによると、アプリケーションへの一部のアクセス要求は、ブロックリストに記載された IP アドレスを持つユーザーから発生している可能性があります。セキュリティチームは DevOps エンジニアにブロックリストを提供しました。ブロックリスト内のいずれかの IP アドレスがアプリケーションにアクセスした場合、セキュリティチームはほぼリアルタイムで自動通知を受け取り、そのアプリケーションに追加のセキュリティ保護が必要であることを記録できるようにしたいと考えています。DevOps エンジニアは本番 VPC に対して VPC フローログを有効化しました。 DevOps エンジニアは、これらの要件を最も経済的かつ効率的に満たすために、追加でどのようなステップを取るべきですか?
- A. Amazon CloudWatch Logs にロググループを作成します。VPC フローログを設定して受信トラフィックをキャプチャし、データをロググループに送信します。ブロックリスト内の IP アドレスに対して Amazon CloudWatch のメトリクスフィルターを作成します。メトリクスフィルターを入力として CloudWatch アラームを作成します。期間を 5 分、アラームを発行するデータポイント数を 1 に設定します。Amazon Simple Notification Service (Amazon SNS) トピックを使用して、セキュリティチームにアラーム通知を送信します。 ✓
- B. ログファイル用の Amazon S3 バケットを作成します。VPC フローログを設定してすべてのトラフィックをキャプチャし、データを S3 バケットに送信します。Amazon Athena を設定して、S3 バケット内のすべてのログファイルからブロックリスト内の IP アドレスを返すクエリを実行します。Amazon QuickSight を設定して Athena からのデータを受け取り、セキュリティチームがアクセス可能なダッシュボードとして公開します。成功したアクセスに対して 1 のしきい値アラームを作成します。アラームしきい値に達した際に、セキュリティチームに可能な限り頻繁に自動通知するようアラームを設定します。
- C. ログファイル用の Amazon S3 バケットを作成します。VPC フローログを設定して受信トラフィックをキャプチャし、データを S3 バケットに送信します。ログファイル用に Amazon OpenSearch Service クラスターおよびドメインを設定します。S3 バケットからログを取得・フォーマットし、OpenSearch Service クラスターにロードする AWS Lambda 関数を作成します。Lambda 関数を 5 分ごとに実行するようにスケジュールします。OpenSearch Service 内でアラームおよび条件を設定し、ブロックリスト上の IP アドレスからのアクセスを検出した際に Amazon Simple Notification Service (Amazon SNS) トピックを通じてセキュリティチームにアラーム通知を送信します。
- D. Amazon CloudWatch Logs にロググループを作成します。クエリ結果を保存するための Amazon S3 バケットを作成します。VPC フローログを設定してすべてのトラフィックをキャプチャし、データをロググループに送信します。AWS Lambda 内で Amazon Athena CloudWatch コネクタをデプロイします。このコネクタをロググループに接続します。Athena を設定して、ブロックリスト内の IP アドレスからのすべての受信トラフィックを定期的にクエリし、結果を S3 バケットに保存します。S3 イベント通知を設定して、新しいオブジェクトが S3 バケットに追加された際に Amazon Simple Notification Service (Amazon SNS) トピックを通じてセキュリティチームに自動通知します。
正解: A. Amazon CloudWatch Logs にロググループを作成します。VPC フローログを設定して受信トラフィックをキャプチャし、データをロググループに送信します。ブロックリスト内の IP アドレスに対して Amazon CloudWatch のメトリクスフィルターを作成します。メトリクスフィルターを入力として CloudWatch アラームを作成します。期間を 5 分、アラームを発行するデータポイント数を 1 に設定します。Amazon Simple Notification Service (Amazon SNS) トピックを使用して、セキュリティチームにアラーム通知を送信します。
解説
最もコスト効率の良い解決策は A です。VPC フローログを受信トラフィックのみに制限し、CloudWatch Logs に直接送信することで、不要なストレージおよび処理コストを削減できます。CloudWatch メトリクスフィルターは、ブロックリスト IP アドレスを含むログエントリを効率的に抽出し、CloudWatch アラームを低遅延でトリガーできます。5 分間隔のアラーム設定と SNS 通知は、リアルタイム性とコスト効率のバランスを最適化します。他の選択肢は、S3/Athena/QuickSight(B)、OpenSearch/Lambda(C)、または Athena コネクタ(D)など、余分なサービスと複雑さを伴い、コストと管理負荷が高くなります。