Q47 — AWS SAP-C02 第1章

第 47/75 問 | ← 第1章

Q122. 金融会社が、オンプレミスで稼働しているWebアプリケーションをAWSへ移行することを計画しています。同社では、サードパーティ製のセキュリティツールを用いてアプリケーションへの着信トラフィックを監視しています。このツールは過去15年間にわたり使用されており、ベンダーからクラウド対応のソリューションは提供されていません。セキュリティチームは、このセキュリティツールをAWSテクノロジーとどのように統合するかについて懸念しています。アプリケーションのAWS移行はAmazon EC2インスタンス上で実施される予定です。EC2インスタンスは、専用VPC内に配置されたAuto Scalingグループで実行されます。同社は、このセキュリティツールを用いてVPCの出入りするすべてのパケットを検査する必要があります。この検査はリアルタイムで実行され、アプリケーションのパフォーマンスに影響を与えてはなりません。ソリューションアーキテクトは、AWSリージョン内で高可用性を実現するターゲットアーキテクチャを設計する必要があります。これらの要件を満たすために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(2つ選択)

正解: A. 既存のVPC内に新しいAuto Scalingグループを作成し、そのEC2インスタンス上にセキュリティツールを展開する, D. 各Availability ZoneごとにGateway Load Balancerをプロビジョニングし、トラフィックをセキュリティツールへリダイレクトする

解説

要件には「VPCの出入りするすべてのパケットをリアルタイムで検査し、アプリケーションパフォーマンスに影響を与えない」ことが明記されています。これは、ネットワークレベルでのトラフィックの透過的検査(in-line inspection)を意味します。Gateway Load Balancer(GWLB)は、VPC内のトラフィックをセキュリティアプライアンス(例:サードパーティ製ファイアウォールやIDS/IPS)に送信するための専用ロードバランサーであり、VPCのルートテーブル設定によりトラフィックを透過的にリダイレクトできます。また、高可用性を確保するため、各Availability ZoneごとにGWLBエンドポイントをデプロイする必要があります(選択肢D)。一方、WebアプリケーションをNetwork Load Balancerの後ろに配置することで、レイヤー4の負荷分散と高可用性が実現され、かつGWLBとの連携も自然に可能です(選択肢B)。選択肢Aは、セキュリティツールを単純にEC2にデプロイするだけでは、トラフィックの透過的検査や高可用性の保証が不十分です。選択肢CのApplication Load BalancerはHTTP/HTTPS(レイヤー7)向けであり、パケットレベルの検査には不適切です。選択肢EのTransit Gatewayは、複数VPCまたはオンプレミスとの接続に使うものであり、単一VPC内のトラフィック検査には関係ありません。