CLF-C02#234(Security)
Amazon VPCサブネットの出入りトラフィックを制御するファイアウォールをセットアップするために使用できるAWSサービスまたはツールはどれですか?
正解:D
正解の根拠
ネットワーク ACL(NACL)は VPC のサブネット単位で動作するステートレスなファイアウォールで、サブネットへの出入り両方向のトラフィックを許可・拒否ルールで制御します。サブネット境界での粗いフィルタリングに用いられます。
ファイアウォールの比較
| 機能 | 適用範囲 | 特徴 |
|---|---|---|
| NACL | サブネット | ステートレス、許可/拒否 |
| セキュリティグループ | ENI | ステートフル、許可のみ |
| WAF | L7(HTTP) | ペイロード検査 |
| Firewall Manager | 組織横断 | ポリシー集中管理 |
不正解の理由
- A: セキュリティグループは ENI 単位で、サブネット境界の制御には NACL が適切です。
- B: WAF は HTTP/HTTPS のレイヤー 7 制御で、サブネット単位ではありません。
- C: Firewall Manager はポリシー集中管理で、サブネットフィルタ自体ではありません。
コメント