Question#13(SCS-C01)

ある会社はコンプライアンス要件を満たすため、ウェブアプリケーションに接続する際に HTTPS のみを使用する必要があります。これらのウェブアプリケーションは、Amazon VPC 内の Amazon EC2 インスタンス上で動作し、Application Load Balancer (ALB) の背後に配置されています。

セキュリティエンジニアは、ALB が誤って HTTP リスナーで設定されてしまっても、ロードバランサーが ポート 443 での接続のみを受け入れるようにしたいと考えています。この要件を実現するには、どの設定を行うべきでしょうか？

A. 0.0.0.0/0 からポート 80 へのインバウンド接続を拒否するルールを持つセキュリティグループを作成する。そのセキュリティグループを ALB にアタッチして、ALB のデフォルトセキュリティグループのより緩いルールを上書きする。
B. 0.0.0.0/0 からポート 80 へのインバウンド接続を拒否するネットワーク ACL を作成する。そのネットワーク ACL を VPC のインターネットゲートウェイに関連付ける。
C. VPC の IP 範囲へのポート 443 のみのアウトバウンド接続を許可するネットワーク ACL を作成する。そのネットワーク ACL を VPC のインターネットゲートウェイに関連付ける。
D. 0.0.0.0/0 からポート 443 への接続のみを許可する単一のインバウンドルールを持つセキュリティグループを作成する。このセキュリティグループが ALB に関連付けられている唯一のセキュリティグループであることを確認する。

正解と解説ディスカッション 0

正解：D

SG のデフォルト動作（許可ルールがないポートはすべて拒否）により、ポート 80 はブロックされ、要件を完全に満たす。

ALB に適用されるのはセキュリティグループ。
セキュリティグループは ホワイトリスト方式（明示的許可のみ有効、デフォルトは拒否）。
したがって、セキュリティグループに「443 だけを許可する」ルールを設定すれば、たとえ ALB に HTTP リスナーを追加しても、ポート 80 での接続は到達できなくなる。

Question#13(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル