ANS-C01#5(network-implementation)

ある企業はオンプレミス CGW と AWS の間で Site-to-Site VPN を構築し、FIPS 準拠の暗号要件を満たす必要があります。IKEv2、AES-256-GCM、DH group 20 以上を採用したい意向です。ネットワーク技術者はトンネルパラメータと冗長設計を確認しています。

適切な実装はどれですか。(2 つ選択)

（2つ選択）

A.
IKE バージョンに ikev1 を指定し、phase1 暗号は AES256-GCM-16、DH group は 14 を選択して構成します。
B.
VPN コネクションのトンネルオプションで IKE バージョン ikev2 を固定し phase1/phase2 で AES256-GCM-16 を選択します。
C.
phase1/phase2 の DH group に 20 もしくは 21 を指定し、CGW でも同一値を設定して PFS を成立させます。
D.
VPN を Accelerated VPN に変更し、Global Accelerator 側で TLS1.3 を有効化することで AES-256-GCM 相当の暗号化を満たします。
E.
AWS では暗号スイートが固定のため CGW 側だけ AES256-GCM/DH20 を設定し、AWS 側はデフォルトのまま運用します。

正解と解説ディスカッション 0

正解：B, C

正解の根拠

AWS Site-to-Site VPN は IKEv2 を選択でき、phase1/phase2 の暗号アルゴリズムに AES256-GCM-16、DH group には 19/20/21 などの ECC ベースを指定可能です。FIPS/CC 系要件では IKEv2 + AES-GCM + DH20 の組合せが推奨され、両端で対称に設定する必要があります。

不正解の理由

A: IKEv1 + DH14 は FIPS の現行推奨から外れ、PFS 強度も AES-256-GCM の意図に届きません。
D: Global Accelerator は VPN を TLS 化する機能を持たず、暗号要件の代替にはなりません。
E: AWS 側のトンネルオプションは編集可能で、デフォルト維持では要件の暗号スイートが保証されません。

参考：Site-to-Site VPN tunnel options

ANS-C01#5(network-implementation)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル