CLF-C02#181(Security)
サブネットレベルでVPCファイアウォールとして機能するAWSツールまたは機能はどれですか?
正解:B
正解の根拠
ネットワーク ACL (NACL) は VPC のサブネット境界で適用されるステートレスなファイアウォールで、サブネットレベルでインバウンドとアウトバウンドのトラフィックを許可・拒否ルールで制御できます。一方セキュリティグループは ENI/インスタンス単位のステートフル制御で、両者は適用範囲が異なります。
VPC 内 FW の比較
| 項目 | NACL | セキュリティグループ |
|---|---|---|
| 適用先 | サブネット | ENI/インスタンス |
| 動作 | ステートレス | ステートフル |
| 許可/拒否 | 両方可 | 許可のみ |
不正解の理由
- A: セキュリティグループは ENI 単位のステートフル制御で、サブネットレベルではありません。
- C: トラフィックミラーリングはパケットを複製して解析する機能で、フィルタは行いません。
- D: インターネットゲートウェイは VPC とインターネット間のルーティング機能で、FW ではありません。
参考:ネットワーク ACL
コメント