Q71 — AWS SCS-C02 第1章

第 71/100 問 | ← 第1章

セキュリティエンジニアは、アプリケーションをサポートするクラウドアーキテクチャを設計しています。このアプリケーションはAmazon EC2インスタンス上で実行され、クレジットカード番号を含む機密情報を処理します。アプリケーションは、クレジットカード番号を隔離された環境で実行されるコンポーネントに送信します。このコンポーネントは、クレジットカード番号を暗号化、保存、復号化し、アプリケーションの他の部分で使用するためのトークンを発行します。トークン化プロセスを管理するアプリケーションコンポーネントは、別のセットのEC2インスタンス上にデプロイされます。アプリケーションの他のコンポーネントは、クレジットカード番号を保存またはアクセスしてはなりません。 これらの要件を満たすソリューションはどれですか?

正解: D. EC2インスタンス上でホストされるAWS Nitro Enclavesにトークン化コードをデプロイします。

解説

AWS Nitro Enclavesは、EC2インスタンス上で機密データ処理を実行するための分離されたコンピューティング環境を提供し、ホストや他のコンポーネントからのデータアクセスを防止します。Nitro Hypervisorによるハードウェアレベルの分離を実現し、PCI DSSなどのコンプライアンス要件を満たします。選択肢Aの専用インスタンスはハードウェア層の分離のみを提供し、同一インスタンス上の他のプロセスやネットワークアクセスを防げません。選択肢Bの配置グループは物理レイアウトに焦点を当てており、セキュリティ分離とは無関係です。選択肢CのVPC分離はネットワークセグメンテーションを提供しますが、インスタンスレベルの権限設定ミスによるデータ漏洩を防ぐことはできません。Nitro Enclavesは、暗号化されたメモリ、独立したカーネル、強制的なチャネル通信により、データ処理プロセスを完全に分離し、他のコンポーネントがクレジットカード番号を保存またはアクセスできないという要件を満たします。AWSセキュリティホワイトペーパーおよびNitro Enclavesドキュメントに基づきます。