Q29 — AWS SAA-C03 第5章

第 29/65 問 | ← 第5章

Q329. ある企業が、Auto Scalingグループ内のApplication Load Balancer(ALB)の後ろでAmazon EC2インスタンス上にEコマースWebサイトを運用しています。このサイトは、IPアドレスが頻繁に変化する不正な外部システムからの高トラフィック率によってパフォーマンス問題を抱えており、セキュリティチームは当該Webサイトに対するDDoS攻撃の可能性を懸念しています。企業は、正当なユーザーへの影響を最小限に抑えつつ、不正な着信リクエストをブロックする必要があります。ソリューションアーキテクトは何を推奨すべきでしょうか?

正解: B. AWS WAFをデプロイし、ALBに関連付け、レート制限ルールを設定する。

解説

不正な着信リクエストを正当なユーザーへの影響を最小限に抑えながらブロックするには、AWS WAFをデプロイしALBに関連付け、レート制限ルールを設定することが推奨されます。AWS WAFはWebアプリケーションファイアウォールであり、SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なWeb攻撃からWebアプリケーションを保護します。また、特定のIPアドレスまたはIP範囲、HTTPヘッダー、クエリ文字列パラメータなどをブロックするカスタムルールを作成することも可能です。レート制限ルールにより、個々のIPアドレスまたはIP範囲からのWebサイトへのリクエスト数を制限でき、DDoS攻撃の影響を軽減できます。 選択肢Aは誤りです。Amazon Inspectorはトラフィックのブロッキング用途ではなく、環境のセキュリティおよびコンプライアンス評価に使用されるサービスです。 選択肢Cは誤りです。ネットワークACLは、正当なユーザーに影響を与えることなく不審なトラフィックを細かく選択的にブロックするのに十分な粒度を持ちません。 選択肢Dは誤りです。Amazon GuardDutyは脅威検出を目的としたサービスであり、トラフィックのブロッキング機能は提供していません。 レート制限について:レートベースルールでは、ルール条件に一致するIPアドレスから5分間で許容する最大リクエスト数を指定します。レート制限値は最低100以上である必要があります。レート制限のみを指定することも、レート制限と追加条件を併用することも可能です。レート制限のみを指定した場合、AWS WAFはすべてのIPアドレスに対してその制限を適用します。一方、レート制限と条件を併用した場合は、条件に一致するIPアドレスに対してのみ制限が適用されます。IPアドレスがレート制限のしきい値に達すると、AWS WAFは通常30秒以内に指定されたアクション(ブロックまたはカウント)を即座に適用します。このアクションが適用された後、当該IPアドレスから5分間リクエストがなければ、AWS WAFはカウンターをゼロにリセットします。