Q59 — AWS SCS-C02 第1章

第 59/100 問 | ← 第1章

システムエンジニアが、インラインで展開された仮想セキュリティアプライアンスを含むテスト環境の接続性をトラブルシューティングしています。開発チームは、仮想セキュリティアプライアンスに加えて、セキュリティグループおよびネットワークACLを活用して、環境内のさまざまなセキュリティ要件を満たしたいと考えています。 仮想セキュリティアプライアンスがトラフィックをルーティングできるようにするには、どのような設定が必要ですか?

正解: C. セキュリティアプライアンスのElastic Network Interface(ENI)のNetwork Source/Destination Checkを無効化します。

解説

クラウド環境における仮想セキュリティデバイスは、自身のIPアドレス以外のトラフィックを処理する必要がある場合、ソース/デスティネーションチェックによりその動作が阻止されます。AWS公式ドキュメントでは、NATやファイアウォールなどのインスタンスによるネットワークトラフィック転送機能を有効化する際には、ソース/デスティネーションチェックを無効化することが明記されており、これにより中継トラフィックを正しく処理できます。選択肢Bの混雑モードはパケットスニッフィング用途であり、ルーティングには適用されません。選択肢Aはセキュリティ層の分離要件を損ないます。選択肢Dはデバイスの物理的位置とは無関係です。AWS VPCのネットワークインターフェイスはデフォルトで、バインドされていないIPアドレスのトラフィックをブロックするセキュリティチェックを実施しており、このチェックを無効化することがルーティングの必須条件です。