Q7 — AWS SAA-C03 第2章
第 7/65 問 | ← 第2章
Q72. ある企業が、API 主導のクラウド通信プラットフォームを設計しています。このアプリケーションは、Network Load Balancer(NLB)の背後に配置された Amazon EC2 インスタンス上でホストされています。同社は、外部ユーザーが API を介してアプリケーションにアクセスできるようにするため、Amazon API Gateway を使用しています。同社は、SQL インジェクションなどの Web 攻撃からプラットフォームを保護したいと考えており、同時に大規模かつ高度な DDoS 攻撃を検出し緩和することも求めています。最も高い保護を提供するソリューションの組み合わせはどれですか?(2つ選択してください。)
- A. NLB に対して AWS WAF を使用する
- B. NLB に対して AWS Shield Advanced を使用する ✓
- C. Amazon API Gateway に対して AWS WAF を使用する ✓
- D. Amazon GuardDuty と AWS Shield Standard を併用する
- E. Amazon API Gateway に対して AWS Shield Standard を使用する
正解: B. NLB に対して AWS Shield Advanced を使用する, C. Amazon API Gateway に対して AWS WAF を使用する
解説
Web 攻撃(例:SQL インジェクション)に対する保護には、AWS WAF を利用するのが最適です。AWS WAF は、Amazon API Gateway および Application Load Balancer に対して直接適用可能ですが、NLB には直接適用できません(NLB は第4層ロードバランサであり、HTTP/HTTPS トラフィックの内容を検査できないため)。したがって、オプション A は不適切です。一方、Amazon API Gateway は HTTP/HTTPS リクエストを処理するため、AWS WAF を適用することで SQL インジェクションや XSS などのアプリケーション層攻撃を効果的に防御できます(オプション C は有効)。DDoS 攻撃の検出・緩和については、AWS Shield Advanced が NLB および API Gateway を含む複数の AWS リソースを対象に、高度な DDoS 検出・自動緩和・24時間365日のセキュリティ専門家によるサポートを提供します(オプション B は有効)。AWS Shield Standard はすべての AWS ユーザーに無料で提供されますが、高度な攻撃への対応やカスタマーサポートは含まれず、API Gateway への直接的な統合もありません(オプション E は不十分)。Amazon GuardDuty は脅威検出サービスであり、DDoS 攻撃の緩和機能はありません(オプション D は不適)。よって、最も保護される組み合わせは「C」と「B」です。