Q70 — AWS SAA-C03 第4章

第 70/105 問 | ← 第4章

Q265. ある企業がAWS上で自己管理型のDNSサービスを実装しています。このソリューションは以下の構成で構成されています:— 異なるAWSリージョンに配置されたAmazon EC2インスタンス、— AWS Global Acceleratorの標準アキュレーター(Standard Accelerator)のエンドポイント。この企業は、このソリューションをDDoS攻撃から保護したいと考えています。この要件を満たすために、ソリューションズアーキテクトは何を行うべきでしょうか?

正解: A. AWS Shield Advancedにサブスクライブし、アキュレーターを保護対象リソースとして追加する

解説

AWS Global Acceleratorは、グローバルなトラフィックを最適なエンドポイントにルーティングするサービスであり、DDoS攻撃に対する組み込みの保護機能を提供します。AWS Shield Advancedは、Global Acceleratorのアキュレーター(Standard Accelerator)を保護対象リソースとして直接サポートしており、これによりレイヤー3およびレイヤー4のDDoS攻撃に対する高度な自動緩和が可能になります。一方、AWS WAFは主にHTTP/HTTPS(レイヤー7)トラフィック向けであり、DNSトラフィック(UDP/TCPポート53)やGlobal Acceleratorの背後にある非HTTPエンドポイントには適用できません。また、EC2インスタンス単体をShield Advancedで保護しても、Global Acceleratorによる分散・緩和の恩恵を受けられず、最適な防御アプローチではありません。したがって、正解はAです。