PCNE#4(design-network)

金融子会社のセキュリティ部門から、本番 VPC と DMZ VPC を完全に分離した上で、双方向に推移ルートを発生させず、共通の Network Virtual Appliance 経由で全トラフィックを検査したいという要望が出されました。VPC は同一組織配下に複数存在し、将来的にも増減します。設計として最も適切なのはどれですか。

A. すべての VPC を相互に VPC Peering で接続し、各 VPC のデフォルトルートを共通の検査用 VM に向ける構成を採用したうえで Peering で推移経路を発生させて検査を実現します。
B. Network Connectivity Center のハブとスポークモデルで VPC スポークと検査スポークを構成し、共有された経路で集中検査を実現します。
C. 全 VPC を統合し単一の Shared VPC に集約することで、検査用サブネットを共有し推移ルーティングを実現し VPC 分離は IAM のみで実施します。
D. 各 VPC を Cloud VPN で接続し、検査 VPC を中継拠点として静的経路で固定して、拠点ごとの VPN ライセンスでスケールを担保します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Network Connectivity Center の VPC スポーク機能は、複数 VPC をハブにアタッチしてフルメッシュ的なルーティング基盤を提供しつつ、検査用スポークを介したセキュリティチェイニングが可能です。VPC Peering と異なり推移経路を統制できます。

方式	推移経路	検査統合
NCC ハブ	制御可能	容易
VPC Peering	非対応	困難
Shared VPC	単一 VPC 内	分離不可

不正解の理由

A: VPC Peering は推移ルーティングをサポートせず多 VPC では破綻します。
C: VPC 統合は要件である完全分離に反します。
D: VPN は VPC 間接続として非推奨かつスケールしません。

参考：NCC VPC spokes

PCNE#4(design-network)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル