Q50 — AWS SCS-C02 第1章
第 50/100 問 | ← 第1章
大規模企業のセキュリティエンジニアが、1,500の子会社が利用するデータ処理アプリケーションを管理しています。親会社および各子会社はすべてAWSを利用しています。このアプリケーションはTCPポート443を使用し、Network Load Balancer(NLB)の背後にAmazon EC2上で実行されています。コンプライアンス上の理由から、このアプリケーションは子会社からのみアクセス可能とし、パブリックインターネット上では利用不可としなければなりません。アクセス制限に関するコンプライアンス要件を満たすため、エンジニアは各子会社のパブリックおよびプライベートCIDRブロック範囲を取得済みです。 エンジニアは、アプリケーションに対する適切なアクセス制限を実装するためにどの解決策を採用すべきですか?
- A. 1,500の子会社のCIDRブロック範囲からのTCPポート443へのアクセスを許可するネットワークACL(NACL)を作成します。このNACLをNLBおよびEC2インスタンスの両方に関連付けます。
- B. 1,500の子会社のCIDRブロック範囲からのTCPポート443へのアクセスを許可するAWSセキュリティグループを作成します。このセキュリティグループをNLBに関連付けます。さらに、NLBのセキュリティグループからのTCPポート443アクセスを許可するセキュリティグループをEC2インスタンス用に別途作成します。
- C. 親会社アカウント内でNLBにアタッチされたAWS PrivateLinkエンドポイントサービスを作成します。インスタンス用のAWSセキュリティグループを作成し、AWS PrivateLinkエンドポイントからのTCPポート443アクセスを許可します。1,500の子会社AWSアカウントでAWS PrivateLinkインターフェースエンドポイントを作成し、データ処理アプリケーションに接続します。 ✓
- D. 1,500の子会社のCIDRブロック範囲からのTCPポート443へのアクセスを許可するAWSセキュリティグループを作成します。このセキュリティグループをEC2インスタンスに関連付けます。
正解: C. 親会社アカウント内でNLBにアタッチされたAWS PrivateLinkエンドポイントサービスを作成します。インスタンス用のAWSセキュリティグループを作成し、AWS PrivateLinkエンドポイントからのTCPポート443アクセスを許可します。1,500の子会社AWSアカウントでAWS PrivateLinkインターフェースエンドポイントを作成し、データ処理アプリケーションに接続します。
解説
本問は、AWS環境においてコンプライアンス要件を満たすためにアプリケーションへのアクセスを制限する方法について問うものです。AWSのセキュリティベストプラクティスでは、VPCエンドポイントサービス(例:PrivateLink)を用いたプライベート接続が推奨されており、パブリックインターネットを経由しない接続が可能です。AWSドキュメントによれば、PrivateLinkは異なるアカウントおよびVPC間でプライベートネットワークトラフィックを介してサービスにアクセスすることを可能にし、パブリックインターネットを経由しません。選択肢Cは、NLBにアタッチされたPrivateLinkエンドポイントサービスを作成し、セキュリティグループでそのエンドポイントからのみのトラフィックを許可することで、子会社がプライベートインターフェースエンドポイント経由で接続できるようにしており、内部のみのアクセスという要件を満たします。他の選択肢は、NLB環境では不適切なNACLの使用(A)、NLBにはセキュリティグループが適用できない誤り(B)、大量のCIDR管理における運用負荷の高さ(D)などの問題があります。