Question#25(SCS-C01)

ある企業は、アプリケーションを単一のAWSリージョンにマイグレーションする計画を立てています。企業のアプリケーションは、Amazon EC2インスタンス、Elastic Load Balancing（ELB）ロードバランサー、Amazon S3バケットの組み合わせを使用します。企業はマイグレーションをできるだけ迅速に完了したいと考えています。すべてのアプリケーションは以下の要件を満たす必要があります：

データは保存時に暗号化される必要があります。
データは転送時に暗号化される必要があります。
エンドポイントは異常なネットワークトラフィックに対して監視される必要があります。

セキュリティエンジニアがこれらの要件を最小限の努力で満たすために、どの手順の組み合わせを取るべきですか？（3つ選択）

（2つ選択）

A. AWS Systems Manager Automationを使用してEC2インスタンスにAmazon Inspectorエージェントをインストールします。
B. すべてのAWSアカウントでAmazon GuardDutyを有効化します。
C. Amazon EC2およびAmazon S3用のVPCエンドポイントを作成します。VPCルートテーブルを更新して、セキュアなVPCエンドポイントのみを使用するようにします。
D. AWS Certificate Manager（ACM）を構成します。ロードバランサーがACMの証明書を使用するように構成します。
E. AWS Key Management Service（AWS KMS）を使用してキーを管理します。S3バケットポリシーを作成し、x-amz-server-side-encryptionの条件でPutObjectコマンドを拒否します。

正解と解説ディスカッション 0

正解：B, D, E

GuardDuty は機械学習ベースで 不審なネットワークアクティビティや脅威を検出するサービス。
「エンドポイントを監視して異常なトラフィックを検知する」という要件を満たす。

ACMを使えば、ELBでTLS証明書を簡単に管理できる。
これにより データの転送中の暗号化（in transit encryption） が実現する。

S3 のサーバーサイド暗号化を強制する正しい方法。
これにより 保存時の暗号化（at rest encryption） が保証される。

Question#25(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル