Question#12(ANS-C01)
ある企業は、AWS 上の単一の VPC でワークロードを稼働させています。
同社のアーキテクチャには、Amazon CloudWatch Logs や AWS Key Management Service (AWS KMS) など、複数の インターフェイス型 VPC エンドポイント が含まれています。
これらのエンドポイントには、共通のセキュリティグループが設定されています。
このセキュリティグループは、他のワークロードやリソースには使用されていません。 セキュリティレビューの結果、共通のセキュリティグループが必要以上に許可されすぎている ことが判明しました。
同社は、セキュリティグループのルールをより厳格にしたいと考えています。
ただし、VPC 内のリソースがインターフェイス型 VPC エンドポイントを通じて AWS サービスを利用できるようにする必要があります。
また、不要なアクセスは防止する必要があります。 現在のセキュリティグループのルールは次の通りです: インバウンド - ルール 1
プロトコル: TCP
ポート: 443
送信元: 0.0.0.0/0 インバウンド - ルール 2
プロトコル: TCP
ポート: 443
送信元: VPC CIDR アウトバウンド - ルール 1
プロトコル: All
ポート: All
送信先: 0.0.0.0/0 不要なアクセスを防止しつつ、要件を満たすために、どのルールを削除すべきですか?
正解:B
正解の理由 Interface VPC Endpoint の仕組み ・Interface VPC endpoint(例:CloudWatch Logs, KMS)は ENI を VPC 内に作成する。 ・VPC 内の他のリソースがこの ENI に HTTPS(443)通信を行う。 ・通信元は通常 VPC CIDR なので、インバウンドの許可元は VPC CIDR で十分。 各ルールの問題点 ・Inbound Rule 1 (0.0.0.0/0 → 443) インターフェイスエンドポイントに対する外部からの直接通信を許可してしまう。 必要なし。VPC 内リソースだけが利用すればよい。 削除すべき。 ・Inbound Rule 2 (VPC CIDR → 443) 必要。VPC 内のリソースがエンドポイントを使うために必要。 ・Outbound Rule 1 (All → 0.0.0.0/0) 不必要に外部宛通信を許可している。 Interface endpoint は VPC 内の ENI なので、Outbound の広範囲な許可は不要。 Outbound は通常 HTTPS 応答を返すだけ のため、443 の応答許可で十分。 削除すべき。 ✅ 正解:Inbound - Rule 1 と Outbound - Rule 1 を削除 ・Inbound Rule 1 を削除 → 不要な外部アクセスを防止。 ・Outbound Rule 1 を削除 → 不要な外部通信を防止。 ・必要なのは VPC CIDR からの HTTPS トラフィックのみ。
コメント