MENU

会員登録（無料）

Question#25(SAP-C02)

この問題のディスカッション

Question#25(SAP-C02)

ある会社は AWS 上に新しいアプリケーションをデプロイしています。アプリは Amazon EKS クラスターと Amazon ECR リポジトリで構成され、EKS クラスターは AWS マネージドノードグループを使用しています。

会社のセキュリティ方針では、AWS 上のすべてのリソースを継続的に脆弱性スキャンしなければなりません。最小の運用オーバーヘッドでこの要件を満たす解はどれですか？

A. AWS Security Hub を有効化する。Security Hub を構成して EKS ノードと ECR リポジトリをスキャンする。
B. Amazon Inspector を有効化して、EKS ノードと ECR リポジトリをスキャンする。
C. 新しい Amazon EC2 インスタンスを起動し、AWS Marketplace の脆弱性スキャナをインストールする。EKS ノードをスキャンするよう設定し、ECR はプッシュ時の基本スキャンを構成する。
D. Amazon CloudWatch エージェントを EKS ノードにインストールし、継続スキャンを構成する。ECR はプッシュ時の基本スキャンを構成する。

正解と解説ディスカッション 0

正解：B

Amazon Inspector は有効化するだけで、

ECR イメージの継続的スキャン（プッシュ時＋継続再評価）
EC2 ベースの EKS ノードの脆弱性スキャン（SSM/Inspector エージェント統合）を自動で実施できます。Organizations 連携で新規アカウントへの自動有効化も可能で、運用負荷が最小です。必要なら結果は Security Hub に集約可能です。

コメント

コメント

コメントするコメントをキャンセル