Q94 — AWS DOP-C02 第1章
第 94/100 問 | ← 第1章
セキュリティ監査の結果、ある会社が一部のセキュリティグループが0.0.0.0/0からのSSHトラフィックを許可していることを発見しました。セキュリティチームは、この問題をできるだけ迅速に検出し是正するソリューションを実装したいと考えています。この会社は、AWS Organizationsを用いて、全社のセキュリティサービスを管理するセキュリティサービスアカウントを運用しています。
- A. すべてのAWSアカウントでAWS Configを有効化します。周期的なトリガーを使用してVPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS(vpc-port-check)AWS Configマネージドルールをアクティブ化します。不適合リソースを是正するAWS Lambda関数を作成します。 ✓
- B. 各AWSアカウントで、すべてのセキュリティグループルールを削除するAWS Lambda関数を作成します。セキュリティグループの更新または作成イベントにマッチするAmazon EventBridgeルールを作成し、各アカウントのLambda関数をそのルールのターゲットとして設定します。
- C. すべてのAWSアカウントでAWS Configを有効化します。構成変更をトリガーとするカスタムAWS Configルールを作成します。このルールを、不適合リソースを是正するAWS Lambda関数を呼び出すように設定します。
- D. 各アカウントで、すべてのセキュリティグループをチェックし、不適合ルールを削除するAWS Systems Manager Automationドキュメントを作成します。Amazon EventBridge Schedulerを用いて、このAutomationドキュメントを1時間ごとに実行します。
正解: A. すべてのAWSアカウントでAWS Configを有効化します。周期的なトリガーを使用してVPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS(vpc-port-check)AWS Configマネージドルールをアクティブ化します。不適合リソースを是正するAWS Lambda関数を作成します。
解説
セキュリティグループが0.0.0.0/0からのSSHトラフィックを許可することは高リスクであり、検出と自動是正の両方を組み合わせたソリューションが必要です。AWS Organizationsで管理されるマルチアカウント環境では、AWS Configがクロスアカウントコンプライアンス管理をサポートし、マネージドルールVPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS(vpc-port-check)は22番ポートの外部開放を検出できます。選択肢Aは、周期的トリガーとLambdaによる自動是正を組み合わせており、AWS Well-Architectedフレームワークが推奨する「継続的モニタリング+自動是正」のパターンに合致します。選択肢Bはすべてのセキュリティグループルールを削除するため業務に支障をきたし、選択肢CのカスタムルールはAWSマネージドルールの標準化された保守性に劣り、選択肢DはSSM Automationによる1時間ごとのポーリングは遅延が大きく、「できるだけ迅速に」という要件を満たしません。