SCSC03-INF#1
あるパブリック Web アプリケーションを、SQL インジェクションなどの OWASP Top 10 攻撃や、単一 IP からの過剰なリクエストから保護する必要があります。適切な対応を 2 つ選択してください。
2 つ選択してください
解説
【正解: A / C】の理由
AWS WAF は、Amazon CloudFront・Application Load Balancer・Amazon API Gateway などの前段で HTTP/HTTPS リクエストのレイヤー 7 の内容を検査できるウェブアプリケーションファイアウォールです。AWS マネージドルール(Core rule set 等)を関連付けると、SQL インジェクションやクロスサイトスクリプティングを含む OWASP Top 10 に相当する一般的な攻撃パターンを検査してブロックできます(A)。加えて、レートベースルールを構成すると、指定した時間枠内で単一の送信元 IP から届く過剰なリクエストをしきい値超過で自動的にブロックでき、総当たりや単純な DDoS の緩和に有効です(C)。この 2 つを組み合わせることで、L7 の既知攻撃とレート異常の双方に対処できます。
【他選択肢が違う理由】
- B: セキュリティグループは L3/L4 のステートフルフィルタで、HTTP ペイロードを検査できず SQL インジェクションを判定できません。
- D: ネットワーク ACL はステートレスな L3/L4 制御で、アプリケーション層の攻撃パターンは検査できません。
- E: VPC フローログは通信メタデータの記録専用で、トラフィックを遮断する機能はありません。

コメント