MENU

会員登録（無料）

SCS-C02#3(infrastructure)

この問題のディスカッション

SCS-C02#3(infrastructure)

ある企業は AWS Network Firewall を導入し、ステートフルなドメインフィルタリングを実装しようとしています。許可ドメインのリストに一致しない HTTPS 通信を確実にブロックしたい場合、どのルール設定が最も適切ですか。

A.
ステートレスルールグループに 5 タプルの Deny ルールを記述します。
B.
ステートフルルールでドメインリスト型を選び既定 Deny を構成します。
C.
VPC のメインルートテーブルから 0.0.0.0/0 のルートを削除します。
D.
セキュリティグループのアウトバウンドに FQDN ベースの Deny を追加します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Network Firewall のステートフルルールグループはドメインリスト型をサポートし、TLS の SNI と HTTP の Host ヘッダーを検査して FQDN 単位の許可・拒否を実現できます。許可リストに加え既定アクションを Deny にすると確実です。

不正解の理由

A: 5 タプルでは IP とポートしか扱えず、TLS の SNI を見たドメイン制御は実現できません。
C: 経路削除はすべての外部通信を遮断してしまい、許可ドメインの通信も継続できなくなります。
D: セキュリティグループはホスト名やドメインベースのフィルタには対応しない仕様です。

参考：Network Firewall domain rules

コメント

コメント

コメントするコメントをキャンセル