Q14 — AWS SAA-C03 第2章

第 14/65 問 | ← 第2章

Q79. ソリューションアーキテクトは、Webサイトのための高可用性インフラストラクチャを設計する必要があります。このWebサイトは、Amazon EC2インスタンス上で実行されるWindows Webサーバーによって提供されています。ソリューションアーキテクトは、数千のIPアドレスから発生する大規模なDDoS攻撃を緩和できるソリューションを実装しなければなりません。Webサイトのダウンタイムは許容されません。 このような攻撃からWebサイトを保護するために、ソリューションアーキテクトが取るべき措置はどれですか?(2つ選択)

正解: A. AWS Shield Advanced を使用してDDoS攻撃を阻止します。, C. Webサイトが静的および動的コンテンツの両方で Amazon CloudFront を利用するように設定します。

解説

正解は A と C です。 A:AWS Shield Advanced は、レイヤー3~4およびレイヤー7のDDoS攻撃をリアルタイムで検出し、自動的に緩和するマネージドサービスであり、大規模な分散型攻撃に対する強力な保護を提供します。また、AWSサポートチームによる24時間365日の専門的な対応も含まれます。 C:Amazon CloudFront は、グローバルなエッジロケーションを通じてコンテンツを配信するCDNであり、DDoS攻撃の影響を軽減するための重要なレイヤーです。CloudFrontは、攻撃トラフィックをエッジで吸収・フィルタリングし、オリジン(EC2インスタンスなど)への負荷を大幅に低減します。また、CloudFrontはAWS Shield Standardをデフォルトで含み、Shield Advancedと併用することでさらに高度な保護が得られます。 B:Amazon GuardDuty は、不正アクセスや異常な行動を検出する脅威検出サービスですが、攻撃者を「自動的にブロック」する機能はありません(ブロックは別途WAFやセキュリティグループなどの連携が必要)。したがって、本問の要件「大規模DDoS攻撃の緩和」と「ダウンタイムゼロ」には不適切です。 D:VPCネットワークACLはステートレスで、IPアドレス単位の制限しかできず、数千のIPアドレスをリアルタイムで管理・更新するのは非現実的です。また、ネットワークACLは1つのサブネットにのみ適用され、スケーラブルかつ可用性の高い防御手段とはなりません。 E:EC2 Spotインスタンスはコスト最適化には有効ですが、可用性やDDoS耐性とは無関係です。また、Spotインスタンスは中断される可能性があり、ダウンタイムを許容しないという要件に反します。