CLF-C02#348(Security)
企業が、単一のAmazon EC2インスタンスへのネットワーク接続とそこからの接続を制御するファイアウォールを必要としています。このファイアウォールは、同じサブネット内の他のインスタンスへの/からのネットワーク接続を制御しません。この要件を満たすために企業が使用できるAWSサービスまたは機能はどれですか?
正解:D
正解の根拠
セキュリティグループは、EC2インスタンス(ENI)単位で適用される仮想ファイアウォールです。インスタンスごとに異なる規則を割り当てられるため、同一サブネット内の他インスタンスには影響を与えずに、対象インスタンス単独の入出力トラフィックを制御できます。ステートフルで、戻りトラフィックは自動的に許可されます。
主要サービス比較
| 機能 | 適用範囲 | 状態 |
|---|---|---|
| セキュリティグループ | ENI / インスタンス | ステートフル |
| ネットワークACL | サブネット全体 | ステートレス |
| AWS WAF | ALB/CloudFront/API GW | L7 ルール |
不正解の理由
- A: ネットワークACLはサブネット境界に適用されるため、同一サブネット内の通信は制御できません。
- B: AWS WAFはL7のWeb攻撃対策で、EC2のネットワーク接続を制御する用途には適しません。
- C: ルートテーブルは経路制御のみで、許可拒否のフィルタリング機能を持ちません。
コメント