Q44 — AWS SAA-C03 第5章
第 44/65 問 | ← 第5章
Q344. ソリューションアーキテクトは、Amazon EC2インスタンスをホストするVPCネットワークをセキュアにする必要があります。これらのEC2インスタンスには高度に機密性の高いデータが格納されており、プライベートサブネット上で実行されています。会社の方針によると、このVPC内で実行されるEC2インスタンスは、サードパーティが提供するURLを用いたソフトウェア製品の更新のために、インターネット上の承認済みのサードパーティソフトウェアリポジトリのみにアクセス可能とし、それ以外のインターネットトラフィックはすべてブロックしなければなりません。これらの要件を満たすソリューションはどれですか?
- A. プライベートサブネットのルートテーブルを更新し、アウトバウンドトラフィックをAWS Network Firewallのファイアウォールへルーティングします。ドメインリストルールグループを設定します。 ✓
- B. AWS WAFのWeb ACLをセットアップし、送信元および宛先IPアドレス範囲セットに基づいてトラフィック要求をフィルタリングするカスタムルールセットを作成します。
- C. 厳格なインバウンドセキュリティグループルールを実装します。また、承認済みのソフトウェアリポジトリへのアクセスを許可するアウトバウンドルールを、URLを明示的に指定して設定します。
- D. EC2インスタンスの前にApplication Load Balancer(ALB)を構成し、すべてのアウトバウンドトラフィックをALBへ向けるようにします。ALBのターゲットグループでURLベースのルールリスナーを用いて、インターネットへのアウトバウンドアクセスを制御します。
正解: A. プライベートサブネットのルートテーブルを更新し、アウトバウンドトラフィックをAWS Network Firewallのファイアウォールへルーティングします。ドメインリストルールグループを設定します。
解説
選択肢A:プライベートサブネットのルートテーブルを更新し、アウトバウンドトラフィックをAWS Network Firewallのファイアウォールへルーティングし、ドメインリストルールグループを設定する方法は、承認済みのサードパーティソフトウェアリポジトリ(URL指定)へのアクセスのみを許可し、その他のすべてのインターネットトラフィックをブロックするという要件を満たす適切なソリューションです。この手法では、ソフトウェアリポジトリのURLに基づくルールを定義でき、それ以外のトラフィックは確実に遮断できます。選択肢B:AWS WAFのWeb ACLを設定し、送信元・宛先IPアドレス範囲に基づくカスタムルールを作成する方法は、URLに基づくアクセス制御をサポートしないため、要件を満たしません。選択肢C:セキュリティグループのアウトバウンドルールでURLを指定することは技術的に不可能であり(セキュリティグループはIPアドレス/CIDRやポートのみをサポート)、現実的ではありません。したがって、この選択肢は無効です。選択肢D:ALBは主にインバウンドトラフィックのロードバランシング向けのサービスであり、アウトバウンドトラフィックの制御やURLベースのフィルタリングには使用できません。また、ALBのターゲットグループやリスナーは、クライアントからの受信トラフィックを処理するものであり、EC2インスタンスからのアウトバウンド通信を制御する機能はありません。よって、選択肢Aが、承認済みのサードパーティソフトウェアリポジトリへのアクセスのみを許可し、その他のインターネットトラフィックを確実にブロックするという要件を満たす最適なソリューションです。