Q5 — AWS DOP-C02 第3章

第 5/100 問 | ← 第3章

ある会社のアプリケーション開発チームは、LinuxベースのAmazon EC2インスタンスをバステーションホストとして使用しています。バステーションホストへのSSHアクセスは、セキュリティグループで指定された特定のIPアドレスに制限されています。セキュリティグループのルールが変更され、任意のIPアドレスからのSSHアクセスを許可するようになった場合、同社のセキュリティチームは通知を受けることを望んでいます。

正解: C. restricted-sshマネージドルールを用いたAWS Configルールを作成し、セキュリティグループが無制限のインバウンドSSHトラフィックを禁止しているかをチェックします。自動修復アクションを設定し、その結果をAmazon Simple Notification Service(Amazon SNS)トピックへ送信するよう構成します。

解説

AWSサービスにおいて、AWS Configはリソースがルールに準拠しているかを評価するためのサービスであり、提供されるrestricted-sshマネージドルールは、セキュリティグループに無制限のSSHトラフィックを許可するインバウンドルールが存在するかどうかを検出するために専用に設計されています。セキュリティグループルールが任意のIPアドレスからのSSHを許可するように変更されると、AWS Configルールはそのリソースの状態をNON_COMPLIANTと評価します。自動修復アクションを構成することで、この状態変化をSNSトピックへ送信し、セキュリティチームへリアルタイムで通知できます。選択肢AはCloudTrailイベントに基づくものであり、具体的な変更内容をフィルタリングする追加作業が必要です。選択肢Bは脅威検出に依拠しており、構成監視ではありません。選択肢Dは脆弱性に焦点を当てており、ルール変更の監視ではありません。正解のCは、AWS Configのコンプライアンスチェック機構を直接活用しており、本問の要件に合致します。