Q52 — AWS SAP-C02 第2章

第 52/75 問 | ← 第2章

Q202. ある会社では、ロードバランサを使用して、単一のアベイラビリティーゾーン内のAmazon EC2インスタンスにトラフィックを分散しています。同社はセキュリティを懸念しており、ソリューションアーキテクトに対して、以下の要件を満たすようにソリューションを再設計するよう依頼しました。 ・着信リクエストは、一般的な脆弱性攻撃に対してフィルタリングされる必要があります。 ・拒否されたリクエストは、第三者の監査アプリケーションに送信される必要があります。 ・すべてのリソースは、高い可用性を確保する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: D. アプリケーションのAMIを使用してマルチAZのAuto Scalingグループを設定します。Application Load Balancer(ALB)を作成し、先ほど作成したAuto Scalingグループをターゲットとして選択します。第三者の監査アプリケーションを宛先とするAmazon Kinesis Data Firehoseを作成します。WAFでWeb ACLを作成し、そのWeb ACLとALBを用いてAWS WAFを構成した後、Kinesis Data Firehoseを宛先としてログ記録を有効化します。AWS MarketplaceでAWS Managed Rulesを購読し、WAFをサブスクライバーとして指定します。

解説

選択肢Aでは、アプリケーションのAMIを用いたマルチAZ Auto Scalingグループの設定、Application Load Balancer(ALB)の作成、Amazon Inspectorによるトラフィック監視、およびWAFの構成が提案されていますが、拒否されたリクエストを第三者の監査アプリケーションに送信する機能は含まれていません。選択肢Bでは、ALBの設定、WAFの作成、CloudWatch Logsによるログ記録の有効化が提案されていますが、拒否されたリクエストの第三者監査アプリケーションへの送信や、Amazon Kinesis Data Firehoseを用いたログ配信は実現されていません。選択肢Cでは、ALBおよびターゲットグループの設定、第三者監査アプリケーション向けのKinesis Data Firehoseの作成、WAFの構成、およびAWS MarketplaceからのAWS Managed Rulesの購読が提案されていますが、拒否されたリクエストを第三者監査アプリケーションに直接送信する仕組みは含まれていません。したがって、選択肢Dが提示された要件を最も適切に満たすソリューションです。このソリューションでは、アプリケーションのAMIを用いたマルチAZ Auto Scalingグループの設定、ALBの作成、第三者監査アプリケーション向けのKinesis Data Firehoseの作成、WAFの構成、AWS MarketplaceにおけるAWS Managed Rulesの購読に加え、拒否されたリクエストを第三者監査アプリケーションへ送信するためのログ記録設定(Kinesis Data Firehose宛先指定)が含まれています。