Question#12(SCS-C01)

ある会社は、宛先隔離 (destination containment) のインシデント対応手順をテストしています。会社は、重要な Amazon EC2 インスタンスをできるだけ迅速に隔離する必要があります。EC2 インスタンスは停止させずに実行状態を維持しなければなりません。この EC2 インスタンスはパブリックサブネット内の唯一のリソースであり、他のリソースとのアクティブな接続があります。

どのソリューションが EC2 インスタンスを即座に隔離できますか？

A. インバウンドルールもアウトバウンドルールも持たない新しいセキュリティグループを作成し、そのセキュリティグループを EC2 インスタンスにアタッチする。
B. EC2 インスタンスの既存のセキュリティグループを編集し、すべてのインバウンドルールとアウトバウンドルールを削除する。
C. インバウンドトラフィックとアウトバウンドトラフィックを拒否するルールのみを持つ新しいネットワーク ACL を作成し、そのサブネットに関連付ける。
D. 隔離用の新しい VPC を作成する。EC2 インスタンスを停止し、その AMI を作成する。新しい VPC 内に新しい EC2 インスタンスを起動する。

正解と解説ディスカッション 0

正解：C

NACL はステートレス のため、ルール変更が即時に適用され、新規・既存のすべての接続が強制的に遮断される。
サブネットにインスタンスが 1 つだけなので、他のリソースへの影響リスクもない。
→ 「即時隔離（contain IMMEDIATELY）」という要件を唯一完全に満たす。

Question#12(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル