Q73 — AWS SAP-C02 第3章
第 73/75 問 | ← 第3章
Q298. ある企業がレストランのレビュー投稿サイトを運営しています。このサイトはシングルページアプリケーション(SPA)であり、ファイルは Amazon S3 に保存され、Amazon CloudFront を使用して配信されています。同社では毎日複数の不正な投稿(フェイク投稿)が確認されており、これらは手動で削除されています。 セキュリティチームは、これらの不正投稿の多くが、同一のグローバルリージョン内で悪評のあるIPアドレスを持つボットから発生していることを特定しました。チームは、こうしたボットによるウェブサイトへのアクセスを制限するソリューションを構築する必要があります。 ソリューションアーキテクトが採用すべき戦略はどれですか?
- A. AWS Firewall Manager を使用して CloudFront ディストリビューションのセキュリティ設定を制御します。地理的ブロックルールを作成し、Firewall Manager に関連付けます。
- B. CloudFront ディストリビューションに関連付けられた AWS WAF の Web ACL を使用します。Web ACL には、拒否(deny)アクションを指定したマネージドルールグループ「Amazon IP reputation」を選択します。 ✓
- C. AWS Firewall Manager を使用して CloudFront ディストリビューションのセキュリティ設定を制御します。マネージドルールグループ「Amazon IP reputation」を選択し、拒否(deny)アクションを指定して Firewall Manager に関連付けます。
- D. CloudFront ディストリビューションに関連付けられた AWS WAF の Web ACL を使用します。Web ACL には、地理的条件一致(geographical match)ステートメントを含むカスタムルールグループを作成し、拒否(deny)アクションを指定します。
正解: B. CloudFront ディストリビューションに関連付けられた AWS WAF の Web ACL を使用します。Web ACL には、拒否(deny)アクションを指定したマネージドルールグループ「Amazon IP reputation」を選択します。
解説
この戦略では、AWS Web Application Firewall(WAF)を活用して、悪意あるボットからウェブサイトを保護します。CloudFront ディストリビューションに関連付けられた AWS WAF の Web ACL を使用することで、ウェブサイトへのアクセスを制御し、ボットのアクセスをブロックできます。 本シナリオでは、セキュリティチームが、不正投稿の大部分が、同一グローバルリージョン内で悪評のあるIPアドレスを持つボットから送信されていることを特定しています。これらのボットによるアクセスを制限するには、Web ACL にマネージドルールグループ「Amazon IP reputation」を選択し、拒否(deny)アクションを適用します。このルールグループには、悪評のあるIPアドレスのリストが含まれており、拒否アクションにより、該当するIPアドレスからのすべてのリクエストがブロックされます。これにより、不正な投稿をフィルタリングし、レストランレビュー・ウェブサイト全体のセキュリティを向上させることができます。