Question#21(ANS-C01)

正解：A, B, C

この問題では、企業がインターネットVPN接続をAWS Direct Connect接続に移行し、すべてのネットワーク通信を転送中に暗号化する必要があります。AWS Direct Connectは、MACsec（Media Access Control Security）を使用してリンク層（レイヤー2）で暗号化を提供するオプションをサポートしており、これによりVPNのようなIPsec（レイヤー3）を使用せずに転送中のデータを暗号化できます。選択肢1、2、3の組み合わせは以下の理由で最適です： 選択肢1（MACsecポートをリクエストしながら新しいDirect Connect接続を作成）: MACsecは、AWS Direct Connectでサポートされる暗号化プロトコルであり、物理リンク層でトラフィックを暗号化します。新しいDirect Connect接続を作成する際に、MACsec対応ポートをリクエストすることで、暗号化の基盤を確立します。これは要件を満たすための最初のステップです。 選択肢2（CKN/CAKペアを作成し、接続に関連付け）: MACsecを実装するには、接続アソシエーションキー名（CKN）と接続アソシエーションキー（CAK）のペアを生成し、Direct Connect接続に適用する必要があります。これにより、MACsec暗号化が有効になり、通信が保護されます。 選択肢3（オンプレミスルーターをMACsecとCKN/CAKペアで更新）: オンプレミス側のルーターもMACsecをサポートし、AWS側と同じCKN/CAKペアを使用するように設定する必要があります。これにより、両端でMACsec暗号化が同期し、転送中のデータが保護されます。 この組み合わせは、MACsecを使用してDirect Connect接続を暗号化し、インターネットVPNを置き換える要件を満たします。運用負担は、MACsecの設定とキー管理に限定され、IPsecのような追加のオーバーヘッドを回避します。