MENU

会員登録（無料）

SCS-C02#2(infrastructure)

この問題のディスカッション

SCS-C02#2(infrastructure)

セキュリティエンジニアは、パブリックサブネット上の Web サーバーに対し、ステートフルなインバウンド制御を実装したいと考えています。HTTPS は許可しつつ、悪意あるソース IP からの再接続を継続的に拒否する必要があります。最も適切な仕組みはどれですか。

A.
SG で HTTPS を許可し対象 IP は NACL で拒否します。
B.
VPC のルートテーブルから対象 IP のレンジを除外して該当通信を完全遮断します。
C.
セキュリティグループに Deny ルールを追加して悪意ある IP を継続的に拒否します。
D.
VPC Flow Logs を有効化することで対象 IP からの通信が自動拒否される設計です。

正解と解説ディスカッション 0

正解：A

正解の根拠

セキュリティグループはステートフルで Allow ルールのみを持ちます。Deny を表現するにはステートレスな NACL を併用し、サブネット境界でブロックします。NACL は番号順評価のため、低番号で Deny を配置すれば確実に遮断できます。

不正解の理由

B: ルートテーブルは宛先プレフィックスへの経路を決めるもので、送信元 IP のフィルタには使えません。
C: セキュリティグループは Deny ルールに対応せず、Allow リストのみで動作する仕様です。
D: Flow Logs は記録専用であり、通信のフィルタリングや遮断機能は提供しません。

参考：VPC NACL

コメント

コメント

コメントするコメントをキャンセル