Q16 — AWS SCS-C02 第1章
第 16/100 問 | ← 第1章
ある企業は、Amazon Elastic Kubernetes Service(Amazon EKS)クラスターへの未認証アクセスを検出する必要があります。同社は、既存のEKSデプロイメントの追加設定を一切行わずにこれを実現するソリューションを求めています。
- A. セキュリティベンダーのAmazon EKSアドオンをインストールします。
- B. AWS Security Hubを有効化します。Kubernetesの検出結果を監視します。
- C. Amazon CloudWatch Container InsightsメトリクスをAmazon EKS用に監視します。
- D. Amazon GuardDutyを有効化します。EKS監査ログモニタリング機能を使用します。 ✓
正解: D. Amazon GuardDutyを有効化します。EKS監査ログモニタリング機能を使用します。
解説
Amazon GuardDutyは、Amazon EKS監査ログを自動的に分析し、未認証アクセスなどの異常なアクティビティを検出する機能を提供します。GuardDutyのEKS監査ログモニタリングは、EKSクラスターの設定変更を必要とせず、AWS側で自動的に有効化可能です。Security Hub(B)はEKS関連の検出結果を表示できますが、これはGuardDutyや他のセキュリティサービスからの検出結果を集約するものであり、独自の検出機能ではありません。CloudWatch Container Insights(C)はパフォーマンスメトリクス監視に特化しており、未認証アクセスの検出には対応していません。セキュリティベンダーのアドオン(A)は追加設定および管理が必要です。AWSドキュメントおよびGuardDutyのEKS監査ログモニタリング機能の説明を参照してください。