CLF-C02#165(Security)
Amazon VPC内のインバウンドおよびアウトバウンドトラフィックに関する情報を取得するために使用できるAWSサービスまたはツールはどれですか?
正解:A
正解の根拠
VPC Flow LogsはVPC、サブネット、ENI単位でIPトラフィックのメタデータ(送信元/先IP、ポート、プロトコル、許可/拒否)を取得し、CloudWatch LogsまたはS3に出力する機能です。インバウンド・アウトバウンド双方を可視化でき、不審な通信の調査やセキュリティグループ/NACL設計の検証に利用されます。
ネットワーク可視化手段
| 機能 | 役割 |
|---|---|
| VPC Flow Logs | IP トラフィックのメタデータ記録 |
| Inspector | EC2/コンテナの脆弱性評価 |
| VPC エンドポイントサービス | PrivateLink によるサービス公開 |
| NAT Gateway | プライベートサブネットの外向き通信 |
不正解の理由
- B: Inspectorは脆弱性スキャンが目的で、ネットワークトラフィック取得は行いません。
- C: VPCエンドポイントサービスはサービス公開機能で、トラフィック取得機能ではありません。
- D: NATゲートウェイはアドレス変換が役割で、トラフィックログ取得機能は持ちません。
参考:VPC フローログ
コメント