CLF-C02#25(Security)
インスタンスへのネットワークトラフィックをブロックするために使用できるサービスはどれですか?(2つ選択)
(2つ選択)
正解:A, C
正解の根拠
セキュリティグループは ENI 単位のステートフルファイアウォール、ネットワーク ACL はサブネット単位のステートレスファイアウォールで、いずれもインスタンスへのトラフィックを許可・拒否(NACL の場合は明示的拒否も)できます。両者を組み合わせることで多層的にアクセスを制御できます。
2 種類のフィルタの比較
| 項目 | セキュリティグループ | NACL |
|---|---|---|
| 適用範囲 | ENI | サブネット |
| ステート | ステートフル | ステートレス |
| 拒否ルール | 許可のみ | 許可/拒否可 |
不正解の理由
- B: VPC Flow Logs は通信を記録するだけで、ブロックはできません。
- D: CloudWatch は監視・通知サービスで、トラフィック制御機能はありません。
- E: CloudTrail は API 呼び出しの監査用で、ネットワーク制御は行いません。
コメント