Q88 — AWS SAA-C03 第4章

第 88/105 問 | ← 第4章

Q283. ある企業は、ユーザーのデバイスからセンサーデータを受信するAWS上の3層構成環境を運用しています。トラフィックは、Network Load Balancer(NLB)を経由し、Web層のAmazon EC2インスタンスへと流れ、さらにアプリケーション層のEC2インスタンスへと進み、そこでデータベースへの呼び出しが行われます。ソリューションアーキテクトは、Web層へのトランジット中のデータのセキュリティを向上させるために、何を行うべきでしょうか?

正解: A. NLBでTLSリスナーを設定し、サーバー証明書を追加します。

解説

ユーザー → NLB → EC2(Web層)→ DB。トランジット中のデータ(in transit)のセキュリティ強化には、通信路そのものの暗号化が重要です。NLBはTCP/UDPレイヤーで動作するため、TLS終端(TLS termination)をNLBで行うには、TLSリスナーの設定とサーバー証明書の登録が必要です(オプションA)。これにより、ユーザーからNLB間の通信が暗号化され、Web層へのデータ送信が安全になります。AWS WAFやShieldは主にDDoS攻撃やWebアプリケーション層の脅威対策であり、トランジット中のデータ暗号化には直接寄与しません(B、Cは不適)。EBS暗号化は静止時データ(at rest)の保護であり、トランジット中(in transit)のセキュリティとは無関係です(Dは不適)。