Q88 — AWS SAA-C03 第4章
第 88/105 問 | ← 第4章
Q283. ある企業は、ユーザーのデバイスからセンサーデータを受信するAWS上の3層構成環境を運用しています。トラフィックは、Network Load Balancer(NLB)を経由し、Web層のAmazon EC2インスタンスへと流れ、さらにアプリケーション層のEC2インスタンスへと進み、そこでデータベースへの呼び出しが行われます。ソリューションアーキテクトは、Web層へのトランジット中のデータのセキュリティを向上させるために、何を行うべきでしょうか?
- A. NLBでTLSリスナーを設定し、サーバー証明書を追加します。 ✓
- B. AWS Shield Advancedを設定し、NLB上でAWS WAFを有効化します。
- C. ロードバランサーをApplication Load Balancerに変更し、AWS WAFをアタッチします。
- D. EC2インスタンスのAmazon Elastic Block Store(Amazon EBS)ボリュームをAWS Key Management Service(AWS KMS)を使用して暗号化します。
正解: A. NLBでTLSリスナーを設定し、サーバー証明書を追加します。
解説
ユーザー → NLB → EC2(Web層)→ DB。トランジット中のデータ(in transit)のセキュリティ強化には、通信路そのものの暗号化が重要です。NLBはTCP/UDPレイヤーで動作するため、TLS終端(TLS termination)をNLBで行うには、TLSリスナーの設定とサーバー証明書の登録が必要です(オプションA)。これにより、ユーザーからNLB間の通信が暗号化され、Web層へのデータ送信が安全になります。AWS WAFやShieldは主にDDoS攻撃やWebアプリケーション層の脅威対策であり、トランジット中のデータ暗号化には直接寄与しません(B、Cは不適)。EBS暗号化は静止時データ(at rest)の保護であり、トランジット中(in transit)のセキュリティとは無関係です(Dは不適)。