Q19 — AWS SAP-C02 第3章
第 19/75 問 | ← 第3章
Q244. ある会社が、Application Load Balancer(ALB)の後ろでAmazon EC2インスタンス上で動作するウェブサイトを運用しています。これらのEC2インスタンスはAuto Scalingグループに属しています。ALBにはAWS WAFのWeb ACLが関連付けられています。このウェブサイトは、アプリケーション層における攻撃を頻繁に受けており、その結果、アプリケーションサーバーへのトラフィックが急激かつ大幅に増加しています。アクセスログによると、各攻撃は異なるIPアドレスから発生しています。ソリューションアーキテクトは、こうした攻撃を緩和するソリューションを実装する必要があります。これらの要件を満たす中で、**最も少ない運用オーバーヘッド**で実現できるソリューションはどれですか?
- A. Amazon CloudWatchアラームを作成し、サーバーへのアクセスを監視します。IPアドレス単位のアクセス数に基づいてしきい値を設定し、アラームが発火した際にそのIPアドレスをWeb ACLの拒否リストに追加するようアラームアクションを設定します。
- B. AWS WAFに加えてAWS Shield Advancedを導入し、ALBを保護対象リソースとして登録します。 ✓
- C. Amazon CloudWatchアラームを作成し、ユーザーのIPアドレスを監視します。IPアドレス単位のアクセス数に基づいてしきい値を設定し、アラームが発火した際にAWS Lambda関数を呼び出して、アプリケーションサーバーが配置されたサブネットのルートテーブルに該当IPアドレスに対する拒否ルールを追加するよう設定します。
- D. アクセスログを調査し、攻撃を仕掛けたIPアドレスのパターンを特定します。その後、Amazon Route 53のジオロケーションルーティングポリシーを用いて、そのIPアドレスが存在する国からのトラフィックを拒否します。
正解: B. AWS WAFに加えてAWS Shield Advancedを導入し、ALBを保護対象リソースとして登録します。
解説
選択肢Aは不適切です。Web ACLの拒否リストへIPアドレスを手動で追加するには、アクセスログを継続的に監視する必要があり、スケーラブルかつ効率的なソリューションとは言えません。選択肢Cは不適切です。アラーム発火時にアプリケーションサーバーのサブネットルートテーブルに拒否ルールを追加する方法は複雑であり、追加の管理作業を要します。また、攻撃によるアプリケーションサーバーへの急激なトラフィック増加という課題にも対応できません。選択肢Dは不適切です。アクセスログから攻撃元IPアドレスのパターンを特定するのは時間のかかる作業であり、今後の攻撃が必ずしも同じ国から発生する保証はありません。さらに、国単位でのトラフィック遮断は、ビジネス要件上望ましくない、あるいは現実的でない場合もあります。一方、選択肢Bは最適なソリューションです。AWS WAFに加えてAWS Shield Advancedを導入し、ALBを保護対象リソースとして登録することで、ネットワーク層およびアプリケーション層の両方の攻撃に対して高度なDDoS保護と緩和機能が提供されます。追加の設定や管理オーバーヘッドを必要とせず、要件を満たします。