Q73 — AWS SCS-C02 第1章

第 73/100 問 | ← 第1章

ある会社が、規制コンプライアンスのための特定のルールに従うアプリケーションをAmazon EC2上でホストしています。そのルールの1つは、ワークロードへのトラフィックおよびワークロードからのトラフィックをネットワークレベルの攻撃に対して検査することを定めています。これは、パケット全体を検査することを意味します。 この規制ルールを遵守するために、セキュリティエンジニアはc5n.4xlarge EC2インスタンスに侵入検知ソフトウェアをインストールし、アプリケーションインスタンスへのトラフィックおよびアプリケーションインスタンスからのトラフィックを監視するようにソフトウェアを設定する必要があります。 この後、セキュリティエンジニアが行うべき次のステップは何ですか?

正解: C. VPCトラフィックミラーリングを設定して、ネットワークロードバランサー(NLB)を使用してトラフィックを監視用EC2インスタンスに送信する。

解説

AWSサービスにおいて、VPCトラフィックミラーリング(Traffic Mirroring)は、指定されたEC2インスタンスのネットワークトラフィックを複製し、監視ツールへ転送することを可能にします。これは、パケットの完全な内容を検査する必要があるシナリオに適しています。一方、VPCフローログはメタデータのみを記録するため、完全なパケット検査には対応できません。混雑モードはAWS VPCではセキュリティグループおよびネットワークACLの制約により、非宛先トラフィックを直接キャプチャできません。Amazon Inspectorはリアルタイムの全トラフィック検査ではなく、自動化されたセキュリティ評価に特化しています。正しい方法は、VPCトラフィックミラーリングを用いてトラフィックを監視インスタンスへ複製し、NLBを活用して配信することです。これは、AWSドキュメントにおけるVPCトラフィックミラーリングの用途——深層パケット検査およびコンプライアンス要件——と一致します。