SCSC03-INF#2
次の各ネットワーク制御の特徴に最も当てはまる AWS の機能を 1 つずつ対応させてください(各機能は 1 回ずつ使用します)。
| 項目 | 選択 |
|---|---|
| ステートフルで、インスタンス(ENI)単位に適用し、許可ルールのみを持つ。 | |
| ステートレスで、サブネット単位に適用し、許可と拒否の両方のルールを持つ。 | |
| VPC 境界で、ドメインや署名ベースの検査を含む一元的なファイアウォールを提供する。 | |
| CloudFront や ALB の前段で、HTTP リクエストを OWASP・レート観点で検査する。 |
解説
【正解マッチング】
| 特徴 | 機能 |
|---|---|
| ステートフル・ENI 単位・許可ルールのみ | セキュリティグループ |
| ステートレス・サブネット単位・許可と拒否 | ネットワーク ACL |
| VPC 境界の一元ファイアウォール(ドメイン/署名検査) | AWS Network Firewall |
| L7 HTTP 検査(OWASP・レート) | AWS WAF |
【ポイント】
VPC のネットワーク制御は階層と特性が異なります。セキュリティグループは Elastic Network Interface(インスタンス)単位に適用されるステートフルなフィルタで、許可ルールのみを持ち、戻りの通信は自動的に許可されます。ネットワーク ACL はサブネット単位に適用されるステートレスなフィルタで、許可と拒否の両方のルールを番号順に評価します。AWS Network Firewall は VPC 境界に配置する一元管理型のファイアウォールで、ステートフル検査やドメイン・署名ベースのルールにより、より高度な L3〜L7 の制御を提供します。AWS WAF は CloudFront や Application Load Balancer などの前段で HTTP リクエストのレイヤー 7 を検査し、OWASP 相当の攻撃やレート異常をブロックします。適用単位(ENI/サブネット/VPC 境界/アプリ前段)と検査レイヤーを取り違えないことが要点です。

コメント