Q7 — AWS SAA-C03 第3章

第 7/65 問 | ← 第3章

Q137. ある企業が最近AWSへ移行し、本番用VPCを出入りするトラフィックを保護するソリューションを実装したいと考えています。同社はオンプレミスのデータセンターに検査サーバー(inspection server)を保有しており、そのサーバーはトラフィックのフロー検査やフィルタリングなどの特定の処理を実行していました。同社は、AWSクラウド上でも同様の機能を実現したいと考えています。 この要件を満たすソリューションはどれですか?

正解: C. AWS Network Firewall を使用して、本番用VPC向けに必要なトラフィック検査およびフィルタリングのルールを作成します。

解説

正解は C です。AWS Network Firewall は、VPCレベルでステートフルなトラフィック検査・フィルタリングを提供するマネージド型ファイアウォールサービスであり、従来のオンプレミス検査サーバーと同様の機能(例:L3/L4/L7 フィルタリング、IDS/IPS 機能、SSL/TLS 解析など)を実現できます。一方、Amazon GuardDuty は脅威検出のためのセキュリティ監視サービスであり、トラフィックのリアルタイムフィルタリングやブロッキングは行いません(Aは不適)。Traffic Mirroring はトラフィックの複製(ミラーリング)のみを提供し、検査・フィルタリング自体は別途インスタンスやサードパーティツールで実装する必要があります(Bは不完全)。AWS Firewall Manager は、複数のAWSファイアウォール(Network Firewall、WAF、Shield Advancedなど)を一元管理するためのサービスであり、単体ではトラフィック検査・フィルタリング機能を提供しません(Dは不適)。