Q49 — AWS SAP-C02 第3章

第 49/75 問 | ← 第3章

Q274. AWS Organizations を使用する大規模企業のソリューションアーキテクトが、組織内のすべてのAWSアカウントからインターネットへの送信トラフィックに対してネットワークセキュリティを設定する必要があります。この組織には100を超えるAWSアカウントがあり、各アカウント間の通信は、中央集約型のAWS Transit Gateway を介してルーティングされています。各アカウントには、インターネットへの送信トラフィック用にInternet Gateway およびNAT Gateway の両方が設定されています。また、リソースは単一のAWSリージョン内でのみデプロイされます。 この企業は、組織内のすべてのAWSアカウントからのインターネット送信トラフィックに対して、中央管理されたルールベースのフィルタリング機能を追加する必要があります。送信トラフィックのピーク負荷は、各Availability Zone で25 Gbps を超えません。 これらの要件を満たすソリューションはどれですか?

正解: B. インターネット送信トラフィック用の新しいVPCを作成します。既存のTransit Gateway をこの新しいVPCに接続し、新しいNAT Gateway を構成します。ルールベースのフィルタリングにAWS Network Firewall を使用します。各Availability Zone にNetwork Firewall エンドポイントを作成します。すべてのデフォルトルートを、これらのNetwork Firewall エンドポイントを指すように変更します。

解説

正解はBです。インターネット送信トラフィック用の新しいVPCを作成し、既存のTransit Gateway を接続したうえで、新しいNAT Gateway を構成します。さらに、すべての送信トラフィックに対して中央集約的にルールベースのフィルタリングを提供するためにAWS Network Firewall を展開します。このファイアウォールには、特定の送信トラフィックをブロックまたは許可するルールを設定でき、ログ記録機能も有効化することでトラフィックの可視化が可能です。各Availability Zone にNetwork Firewall エンドポイントを作成することで、高可用性と負荷分散を実現できます。最後に、すべてのデフォルトルートをNetwork Firewall エンドポイントを指すように変更すれば、組織内のすべてのAWSアカウントからの送信トラフィックが、中央管理されたファイアウォールによってフィルタリングされます。 選択肢A、C、Dは不適切です。 A:各Availability Zone に、オープンソースのインターネットプロキシを実行するAmazon EC2インスタンスのAuto Scalingグループを展開・管理する方法です。これは構築・運用が複雑で時間のかかる作業であり、手動による大幅な介入なしにピーク時の送信トラフィック(25 Gbps)を処理できるスケーラビリティや可用性を確保できません。 C:各AWSアカウントごとに個別にNetwork Firewall を展開・管理する必要があり、中央集約的な管理が実現できず、組織全体のすべてのアカウントに対する統一的なルールベースフィルタリングという要件を満たしません。 D:各AWSアカウントごとに、オープンソースのインターネットプロキシを実行するEC2 Auto Scalingグループを展開・管理する必要があり、これも中央集約管理が不可能であり、組織全体の統一的なフィルタリング要件を満たしません。