SCS-C02#1(infrastructure)

ある企業は、複数の VPC を集約してアウトバウンドのインターネット通信を一元的に検査したいと考えています。セキュリティエンジニアは、サードパーティのファイアウォールアプライアンスを 1 か所に配置し、各 VPC からの通信を透過的に転送して詳細なパケット検査を行う構成を採用する必要があります。最小の運用負荷でこの要件を満たす方法はどれですか。

A.
各 VPC のサブネットに NACL を作成し、許可ルールを段階的に集約管理して検査します。
B.
各 VPC に Client VPN を配置し、すべてのアウトバウンドを強制的にオンプレミスへ集約して検査します。
C.
検査用 VPC に GWLB を置き Transit Gateway で集約します。
D.
各 VPC に NAT Gateway を配置し CloudWatch Logs にログを集約送信して可視化検査します。

正解と解説ディスカッション 0

正解：C

正解の根拠

Gateway Load Balancer は GENEVE プロトコルでトラフィックを透過的にサードパーティアプライアンスへ転送できます。検査用 VPC に集約し、Transit Gateway で各 VPC を接続することで、東西および南北のトラフィック検査を一元化できます。

不正解の理由

A: NACL はステートレスな 5 タプルフィルタであり、ペイロード検査やアプライアンス連携には対応しません。
B: Client VPN はクライアント接続用で、複数 VPC のトラフィック集約検査には適しません。
D: NAT Gateway はアドレス変換用で、ペイロードのパケット検査機能を持たないため要件を満たしません。

参考：AWS PrivateLink and GWLB

SCS-C02#1(infrastructure)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル