Q88 — AWS DOP-C02 第2章

第 88/100 問 | ← 第2章

ある企業が、マルチテナント環境をVPC内で管理しており、関連するAWSアカウントに対してAmazon GuardDutyを構成しています。同社は、GuardDutyによる調査結果をAWS Security Hubに送信しています。 疑わしい起源からのトラフィックの増加が検出されました。DevOpsエンジニアは、GuardDutyが新たな疑わしい起源を検出した際に、VPC全体のトラフィックを自動的に遮断するソリューションを実装する必要があります。

正解: C. AWS Network Firewallでファイアウォールを構成します。ファイアウォールポリシー内に破棄(Drop)アクションルールを作成するAWS Lambda関数を作成します。このLambda関数を、GuardDutyから新しいSecurity Hubの検出を受けた際に実行されるように構成します。

解説

AWS Network Firewallは、VPCトラフィックのルールを集中管理でき、ファイアウォールポリシーを通じてグローバルなブロックアクションを定義できます。本シナリオでは、脅威検出時にVPC全体のトラフィックを自動的に遮断する必要があり、AWS Network Firewallのルール更新メカニズムがこの要件を直接満たします。選択肢Cでは、Lambda関数がGuardDutyイベントに応答してファイアウォールルールを動的に追加し、すべてのトラフィックが検査・遮断されることを保証します。他の選択肢は、特定のトラフィックタイプに限定される(WAF)、ブロックではなく単なるマーク付け(脅威リスト)、またはアラートの無視のみ(抑制ルール)であり、VPC全体のトラフィック遮断には対応できません。