Q71 — AWS SCS-C02 第1章
第 71/100 問 | ← 第1章
セキュリティエンジニアは、アプリケーションをサポートするクラウドアーキテクチャを設計しています。このアプリケーションはAmazon EC2インスタンス上で実行され、クレジットカード番号を含む機密情報を処理します。アプリケーションは、クレジットカード番号を隔離された環境で実行されるコンポーネントに送信します。このコンポーネントは、クレジットカード番号を暗号化、保存、復号化し、アプリケーションの他の部分で使用するためのトークンを発行します。トークン化プロセスを管理するアプリケーションコンポーネントは、別のセットのEC2インスタンス上にデプロイされます。アプリケーションの他のコンポーネントは、クレジットカード番号を保存またはアクセスしてはなりません。 これらの要件を満たすソリューションはどれですか?
- A. アプリケーションのトークン化コンポーネントにEC2専用インスタンスを使用します。
- B. トークン化プロセスを管理するEC2インスタンスをパーティション配置グループに配置します。
- C. 別個のVPCを作成し、データトークン化をサポートするために新しいEC2インスタンスをその別個のVPCにデプロイします。
- D. EC2インスタンス上でホストされるAWS Nitro Enclavesにトークン化コードをデプロイします。 ✓
正解: D. EC2インスタンス上でホストされるAWS Nitro Enclavesにトークン化コードをデプロイします。
解説
AWS Nitro Enclavesは、EC2インスタンス上で機密データ処理を実行するための分離されたコンピューティング環境を提供し、ホストや他のコンポーネントからのデータアクセスを防止します。Nitro Hypervisorによるハードウェアレベルの分離を実現し、PCI DSSなどのコンプライアンス要件を満たします。選択肢Aの専用インスタンスはハードウェア層の分離のみを提供し、同一インスタンス上の他のプロセスやネットワークアクセスを防げません。選択肢Bの配置グループは物理レイアウトに焦点を当てており、セキュリティ分離とは無関係です。選択肢CのVPC分離はネットワークセグメンテーションを提供しますが、インスタンスレベルの権限設定ミスによるデータ漏洩を防ぐことはできません。Nitro Enclavesは、暗号化されたメモリ、独立したカーネル、強制的なチャネル通信により、データ処理プロセスを完全に分離し、他のコンポーネントがクレジットカード番号を保存またはアクセスできないという要件を満たします。AWSセキュリティホワイトペーパーおよびNitro Enclavesドキュメントに基づきます。