Q58 — AWS SAP-C02 第2章
第 58/75 問 | ← 第2章
Q208. ある教育企業が、世界中の大学生が利用するWebアプリケーションを運用しています。このアプリケーションは、Application Load Balancer(ALB)の後ろでAuto Scalingグループ内に配置されたAmazon Elastic Container Service(Amazon ECS)クラスター上で実行されています。システム管理者が、アプリケーションの認証サービスを圧倒するほど増加する失敗したログイン試行の週次スパイクを検出しました。これらの失敗したログイン試行は、毎週変化する約500の異なるIPアドレスから発生しています。ソリューションアーキテクトは、認証サービスが失敗したログイン試行によって圧倒されるのを防ぐ必要があります。これらの要件を満たし、最も運用効率が高いソリューションはどれですか?
- A. AWS Firewall Manager を使用してセキュリティグループおよびセキュリティグループポリシーを作成し、該当IPアドレスからのアクセスを拒否します。
- B. AWS WAF のウェブACLを作成し、レートベースルール(rate-based rule)を設定して、ルールのアクションを「ブロック」に指定します。その後、このウェブACLをALBに接続します。 ✓
- C. AWS Firewall Manager を使用してセキュリティグループおよびセキュリティグループポリシーを作成し、特定のCIDR範囲からのみアクセスを許可します。
- D. AWS WAF のウェブACLを作成し、IPセットマッチルール(IP set match rule)を設定して、該当IPアドレスからのリクエストをブロックします。その後、このウェブACLをALBに接続します。
正解: B. AWS WAF のウェブACLを作成し、レートベースルール(rate-based rule)を設定して、ルールのアクションを「ブロック」に指定します。その後、このウェブACLをALBに接続します。
解説
選択肢Aでは、AWS Firewall Manager を用いてセキュリティグループおよびセキュリティグループポリシーを作成し、IPアドレスからのアクセスを拒否する方法が提案されていますが、これは毎週変化する約500のIPアドレスを手動でポリシーに追加・更新する必要があり、運用効率が非常に低いです。 選択肢Cでは、AWS Firewall Manager を用いて特定のCIDR範囲のみを許可するセキュリティグループポリシーを作成する方法が提案されていますが、失敗したログイン試行のIPアドレスは毎週変化するため、固定のCIDR範囲では対応できず、実効性がありません。 選択肢Dでは、AWS WAF のIPセットマッチルールを用いて悪意のあるIPアドレスをブロックする方法が提案されていますが、これも同様に、毎週500のIPアドレスを手動でIPセットに追加・更新する必要があり、運用負荷が高く、効率的ではありません。 一方、選択肢Bは、AWS WAF のレートベースルールを活用し、クライアントIPアドレスごとに5分間の時間枠内で一定数を超えるリクエストを自動的にブロックする仕組みを提供します。IPアドレスが毎週変化しても、リクエスト頻度に基づくブロッキングが可能であるため、認証サービスへの過負荷を効果的に防止できます。また、ウェブACLをALBに直接関連付けることで、既存のインフラストラクチャへの大きな変更を伴わず、容易に統合できます。したがって、選択肢Bが最も運用効率の高いソリューションです。