Q19 — AWS SAP-C02 第3章

第 19/75 問 | ← 第3章

Q244. ある会社が、Application Load Balancer(ALB)の後ろでAmazon EC2インスタンス上で動作するウェブサイトを運用しています。これらのEC2インスタンスはAuto Scalingグループに属しています。ALBにはAWS WAFのWeb ACLが関連付けられています。このウェブサイトは、アプリケーション層における攻撃を頻繁に受けており、その結果、アプリケーションサーバーへのトラフィックが急激かつ大幅に増加しています。アクセスログによると、各攻撃は異なるIPアドレスから発生しています。ソリューションアーキテクトは、こうした攻撃を緩和するソリューションを実装する必要があります。これらの要件を満たす中で、**最も少ない運用オーバーヘッド**で実現できるソリューションはどれですか?

正解: B. AWS WAFに加えてAWS Shield Advancedを導入し、ALBを保護対象リソースとして登録します。

解説

選択肢Aは不適切です。Web ACLの拒否リストへIPアドレスを手動で追加するには、アクセスログを継続的に監視する必要があり、スケーラブルかつ効率的なソリューションとは言えません。選択肢Cは不適切です。アラーム発火時にアプリケーションサーバーのサブネットルートテーブルに拒否ルールを追加する方法は複雑であり、追加の管理作業を要します。また、攻撃によるアプリケーションサーバーへの急激なトラフィック増加という課題にも対応できません。選択肢Dは不適切です。アクセスログから攻撃元IPアドレスのパターンを特定するのは時間のかかる作業であり、今後の攻撃が必ずしも同じ国から発生する保証はありません。さらに、国単位でのトラフィック遮断は、ビジネス要件上望ましくない、あるいは現実的でない場合もあります。一方、選択肢Bは最適なソリューションです。AWS WAFに加えてAWS Shield Advancedを導入し、ALBを保護対象リソースとして登録することで、ネットワーク層およびアプリケーション層の両方の攻撃に対して高度なDDoS保護と緩和機能が提供されます。追加の設定や管理オーバーヘッドを必要とせず、要件を満たします。