Question#23(SAP-C02)

あるソフトウェア開発会社には、リモートで働く複数のエンジニアがいます。会社は Amazon EC2 インスタンス上で Active Directory Domain Services (AD DS) を稼働させています。会社のセキュリティポリシーでは、VPC 内にデプロイされた内部の非公開サービスには必ず VPN 経由でアクセスすることと規定されています。また、VPN へのアクセスには 多要素認証 (MFA) を必須とする必要があります。

この要件を満たすために、ソリューションアーキテクトはどうすべきでしょうか？

A. AWS Site-to-Site VPN 接続を作成する。VPN と AD DS の統合を構成する。Amazon WorkSpaces クライアントで MFA サポートを有効化し、VPN 接続を確立する。
B. AWS Client VPN エンドポイントを作成する。AD DS との統合のために AD Connector ディレクトリを作成する。AD Connector に対して MFA を有効化する。AWS Client VPN を使用して VPN 接続を確立する。
C. AWS VPN CloudHub を使用して複数の Site-to-Site VPN 接続を作成する。AWS VPN CloudHub と AD DS の統合を構成する。AWS Copilot を使用して VPN 接続を確立する。
D. Amazon WorkLink エンドポイントを作成する。Amazon WorkLink と AD DS の統合を構成する。Amazon WorkLink で MFA を有効化する。AWS Client VPN を使用して VPN 接続を確立する。

正解と解説ディスカッション 0

正解：B

要件を整理すると：

リモートエンジニアが VPC 内の内部サービスにアクセスできること
VPN 経由でのみアクセス可能にすること（セキュリティポリシー）
MFA を必須とすること
既存の AD DS（EC2 上で稼働中）と統合すること

この条件を満たす最適解は AWS Client VPN を使うアーキテクチャです。

AWS Client VPN
- クライアントベースの VPN ソリューションで、ユーザーごとにリモートから VPC へ安全に接続可能。
- IAM、Active Directory（AD Connector 経由）、RADIUS などと統合できる。
AD Connector
- AWS Directory Service の一部で、既存の Active Directory と AWS サービスを中継する。
- AD DS を再構築せずに MFA 認証連携が可能。
MFA サポート
- AD Connector で RADIUS MFA サーバー（例: Microsoft NPS + MFA）と統合可能。
- Client VPN 側で MFA が有効になる。

したがって、Client VPN + AD Connector + MFA でセキュアかつポリシー準拠のリモートアクセスを実現できます。

Question#23(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル