Question#26(ANS-C01)
ある企業は、オンプレミスデータセンターをAWSクラウドに接続するハイブリッド環境を運用しています。このハイブリッド環境は、10GbpsのAWS Direct Connect専用接続を使用しています。Direct Connect接続には、複数のVPCに終端する複数のプライベート仮想インターフェース(VIF)が設定されています。規制を遵守するため、
企業は、基盤となるトランスポートに関係なく、すべてのWANトラフィックを暗号化する必要があります。企業は、バンド幅容量に影響を与えない暗号化ソリューションを実装する必要があります。
この要件を満たすソリューションはどれですか?
正解:C
問題の要点: 企業はオンプレミスとAWSを10GbpsのDirect Connect専用回線で接続している 複数のプライベートVIFを使用し、複数のVPCと接続している 規制により、すべてのWANトラフィックを暗号化する必要がある 帯域幅は落とさずに暗号化したい(VPNは帯域に影響) 正解の理由 1. 既存のDirect Connect接続ではMACsecを有効にできない AWSでは、既存のDirect Connect接続には後からMACsecを追加できません。 MACsecを使用するには、新規でMACsec対応の回線を注文する必要があります。 🔗 公式情報(AWSブログ) “Existing Direct Connect connections cannot be upgraded to support MACsec.” https://aws.amazon.com/blogs/networking-and-content-delivery/adding-macsec-security-to-aws-direct-connect-connections/ 2. MACsecはL2レベルの暗号化で、帯域の影響なし MACsecはレイヤ2で暗号化されるため、10Gbpsのスループットを維持しながら暗号化が可能です。 一方で、VPN(IPSec)はL3レベルであり、帯域が制限される場合があります。 3. 既存のVIFは新しい接続に移行できる MACsec対応の新しいDirect Connect接続を作成すれば、現在のプライベートVIFをそのまま移行可能。 既存の構成は大きく変えずに済みます(オペレーションコスト低め)。 選択肢3は、唯一の実現可能なかつコスト効率の良い選択肢です。
コメント