Q65 — AWS SCS-C02 第1章
第 65/100 問 | ← 第1章
パブリックサブネットには2つのAmazon EC2インスタンスが含まれています。このサブネットにはカスタムネットワークACLが設定されています。セキュリティエンジニアは、このサブネットのセキュリティを向上させるソリューションを設計しています。このソリューションは、TLSを使用してポート443経由でインターネットサービスへのアウトバウンドトラフィックを許可する必要があります。また、MySQLポート3306宛てのインバウンドトラフィックを拒否する必要があります。 これらの要件を満たすネットワークACLルールセットはどれですか?
- A. インバウンドルール100を使用してTCPポート443のトラフィックを許可します。インバウンドルール200を使用してTCPポート3306のトラフィックを拒否します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
- B. インバウンドルール100を使用してTCPポート3306のトラフィックを拒否します。インバウンドルール200を使用してTCPポート範囲1024-65535のトラフィックを許可します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。 ✓
- C. インバウンドルール100を使用してTCPポート範囲1024-65535のトラフィックを許可します。インバウンドルール200を使用してTCPポート3306のトラフィックを拒否します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
- D. インバウンドルール100を使用してTCPポート3306のトラフィックを拒否します。インバウンドルール200を使用してTCPポート443のトラフィックを許可します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
正解: B. インバウンドルール100を使用してTCPポート3306のトラフィックを拒否します。インバウンドルール200を使用してTCPポート範囲1024-65535のトラフィックを許可します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
解説
ネットワークACLのルールは優先度順(数値が小さいほど優先度が高い)に実行されます。選択肢Bでは、インバウンドルール100によりTCPポート3306のトラフィックが最初に拒否され、MySQLへの不正アクセスが確実に阻止されます。その後のインバウンドルール200により1024-65535のポート範囲が許可され、他の正当なインバウンド接続が保障されます。また、アウトバウンドルール100によりTCPポート443のトラフィックが明示的に許可され、TLS暗号化通信のアウトバウンドトラフィックが確実に確保されます。ルールの順序とポート設定が、問題文のセキュリティ要件に正確に一致しています。