CLF-C02#207(Security)
企業がAmazon CloudFrontディストリビューションが受信する悪意のあるHTTPおよびHTTPSリクエストを監視・ブロックしたいと考えています。この要件を満たすために企業が使用すべきAWSサービスはどれですか?
正解:C
正解の根拠
AWS WAF は CloudFront ディストリビューション、ALB、API Gateway、AppSync に統合できる Web アプリケーションファイアウォールです。SQL インジェクションやクロスサイトスクリプティングなどのレイヤー 7 攻撃パターンに対するルールを定義し、悪意のある HTTP/HTTPS リクエストを検査・許可・ブロックできます。
セキュリティサービス比較
| サービス | 主目的 |
|---|---|
| AWS WAF | L7 リクエストのフィルタリング |
| Shield | DDoS 緩和 (主に L3/L4) |
| GuardDuty | 脅威検知 (ログ解析) |
| Detective | セキュリティインシデント調査 |
不正解の理由
- A: GuardDuty はログを解析して脅威を検知しますが、HTTP リクエストをブロックする機能はありません。
- B: Inspector は EC2/ECR/Lambda の脆弱性スキャンで、トラフィックフィルタは行いません。
- D: Detective はインシデント調査用の可視化サービスで、リクエスト遮断機能は持ちません。
コメント