CLF-C02#60(Security)
VPC内のサブネットレベルでファイアウォールを提供するAWSサービスまたは機能はどれですか?
正解:B
正解の根拠
ネットワーク ACL (NACL) は VPC 内のサブネット境界に適用されるステートレスなパケットフィルタで、サブネットを通過するすべてのトラフィックに対して許可・拒否ルールを適用するファイアウォールとして機能します。サブネットレベルでの制御という要件に該当する唯一の機能です。
VPC 内の制御点
| 機能 | 適用範囲 |
|---|---|
| NACL | サブネット (本問の正解) |
| セキュリティグループ | ENI/インスタンス |
| ENI | 仮想 NIC (制御機能ではない) |
| WAF | L7 (ALB/CloudFront 等) |
不正解の理由
- A: セキュリティグループは ENI 単位の制御で、サブネット境界には適用されません。
- C: ENI は仮想ネットワークインターフェースで、ファイアウォール機能を提供しません。
- D: WAF はレイヤー 7 の HTTP/HTTPS 制御で、サブネット境界の汎用 FW ではありません。
参考:ネットワーク ACL
コメント